CVE-2025-11159: Ejecución de Script Externa en H2 JDBC Driver
Plataforma
java
Componente
h2database
Corregido en
11.0
Se ha descubierto una vulnerabilidad de ejecución de script externa (RCE) en el controlador JDBC de H2, utilizado por Hitachi Vantara Pentaho Data Integration & Analytics. Esta falla permite a un administrador de fuentes de datos inyectar código malicioso al crear una nueva conexión a la base de datos H2. Las versiones afectadas son desde 1.0.0 hasta la 11.0. La vulnerabilidad ha sido solucionada en la versión 11.0 y se recomienda actualizar inmediatamente.
Detecta esta CVE en tu proyecto
Sube tu archivo pom.xml y te decimos al instante si estás afectado.
Impacto y Escenarios de Ataque
La explotación exitosa de esta vulnerabilidad permite a un atacante con privilegios de administrador de fuentes de datos ejecutar código arbitrario en el servidor donde se ejecuta Pentaho Data Integration & Analytics. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales, modificación de datos o interrupción del servicio. El atacante podría acceder a información sensible almacenada en la base de datos H2, incluyendo credenciales, datos de clientes y otra información crítica. La capacidad de ejecutar código arbitrario también abre la puerta a movimientos laterales dentro de la red, permitiendo al atacante comprometer otros sistemas conectados.
Contexto de Explotación
La vulnerabilidad ha sido publicada el 13 de mayo de 2026. La severidad se considera crítica (CVSS 9.1). No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados y aplicar la mitigación lo antes posible. La vulnerabilidad no aparece en la lista KEV (Knowledge-Based Enumeration) al momento de la redacción.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
Mitigación y Workarounds
La mitigación principal es actualizar a la versión 11.0 del controlador JDBC de H2. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la administración de fuentes de datos solo a usuarios de confianza. Implementar controles de validación de entrada en la aplicación Pentaho para evitar la inyección de código malicioso. Si se utiliza un firewall de aplicaciones web (WAF), configurar reglas para bloquear patrones de inyección de código comunes. Monitorear los registros de Pentaho en busca de actividades sospechosas relacionadas con la creación de nuevas conexiones de base de datos.
Cómo corregirlotraduciendo…
Actualice el controlador JDBC de H2 a la versión 10.2.0.7 o superior, o a la versión 11.0 o superior. Esto mitiga la vulnerabilidad de ejecución de scripts externos al crear una nueva conexión de datos. Consulte la documentación de Hitachi Vantara Pentaho para obtener instrucciones específicas de actualización.
Preguntas frecuentes
What is CVE-2025-11159 — Ejecución de Script Externa en H2 JDBC Driver?
CVE-2025-11159 es una vulnerabilidad de ejecución de script externa (RCE) en el controlador JDBC de H2 que afecta a Hitachi Vantara Pentaho Data Integration & Analytics. Un administrador de fuentes de datos puede inyectar código malicioso al crear una nueva conexión, permitiendo la ejecución remota de código.
Am I affected by CVE-2025-11159 in H2 JDBC Driver?
Si está utilizando Hitachi Vantara Pentaho Data Integration & Analytics con el controlador JDBC de H2 en versiones 1.0.0 hasta 11.0, es vulnerable a esta vulnerabilidad. Verifique su versión y actualice lo antes posible.
How do I fix CVE-2025-11159 in H2 JDBC Driver?
La solución es actualizar el controlador JDBC de H2 a la versión 11.0 o superior. Si la actualización no es posible de inmediato, aplique las mitigaciones temporales como restringir el acceso a la administración de fuentes de datos.
Is CVE-2025-11159 being actively exploited?
Aunque no se han reportado campañas de explotación activas conocidas, la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados.
Where can I find the official Hitachi Vantara advisory for CVE-2025-11159?
Consulte el sitio web de Hitachi Vantara para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones de seguridad: [https://www.hitachivantara.com/](https://www.hitachivantara.com/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo pom.xml y te decimos al instante si estás afectado.
Escanea tu proyecto Java / Maven ahora — sin cuenta
Sube tu pom.xml y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...