Scanner gratuitement
Analyse en attenteCVE-2025-11159

CVE-2025-11159: External Script Execution in H2 Database JDBC Driver

Plateforme

java

Composant

h2database

Corrigé dans

11.0

Voir sur NVD
Sauvegarder

Une vulnérabilité d'exécution de script externe (ESE) a été découverte dans le pilote JDBC H2 utilisé par Hitachi Vantara Pentaho Data Integration & Analytics. Cette faille critique permet à un administrateur de source de données malveillant de créer une nouvelle connexion et d'exécuter du code arbitraire sur le système. Les versions de Pentaho Data Integration & Analytics de 1.0.0 à 11.0 sont concernées. Une version corrigée (11.0) est disponible.

Java / Maven

Détecte cette CVE dans ton projet

Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.

Téléverser pom.xmlFormats supportés: pom.xml · build.gradle

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter et d'exécuter du code malveillant via le pilote JDBC H2. Un administrateur de source de données compromis pourrait ainsi prendre le contrôle complet du serveur Pentaho, accéder aux données sensibles stockées dans la base de données H2, et potentiellement se déplacer latéralement vers d'autres systèmes du réseau. L'impact est significatif, car l'exécution de code arbitraire permet de contourner les mécanismes de sécurité et d'obtenir un accès non autorisé aux ressources critiques. Cette vulnérabilité présente un risque élevé de compromission des données et de perturbation des opérations.

Contexte d'Exploitation

La vulnérabilité CVE-2025-11159 est considérée comme critique en raison de sa CVSS score de 9.1. Il n'y a pas d'informations disponibles concernant une exploitation active dans la nature à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la complexité potentielle de l'exploitation et de la nécessité d'un accès administrateur. La date de publication de la CVE est le 13 mai 2026. Des preuves publiques d'exploitation (POC) sont susceptibles d'émerger à mesure que la vulnérabilité devient plus largement connue.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

CISA SSVC

Exploitationnone
Automatableno
Technical Impacttotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composanth2database
FournisseurHitachi Vantara
Version minimale1.0.0
Version maximale11.0
Corrigé dans11.0

Classification de Faiblesse (CWE)

CWE-1395

Chronologie

  1. Reserved
  2. Publiée

Mitigation et Contournements

La mitigation immédiate consiste à mettre à jour Pentaho Data Integration & Analytics vers la version 11.0, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès à la fonction de création de nouvelles connexions aux sources de données aux seuls administrateurs de confiance. Envisagez également de mettre en place une solution WAF (Web Application Firewall) pour détecter et bloquer les tentatives d'injection de code malveillant. Examinez attentivement les journaux d'accès et d'audit pour détecter toute activité suspecte liée à la création de connexions ou à l'exécution de code non autorisé.

Comment corrigertraduction en cours…

Actualice el controlador JDBC de H2 a la versión 10.2.0.7 o superior, o a la versión 11.0 o superior, para mitigar la vulnerabilidad de ejecución de scripts externos.  Verifique la configuración de la fuente de datos para asegurar que solo usuarios autorizados puedan crear nuevas conexiones. Consulte la documentación de Hitachi Vantara Pentaho para obtener instrucciones específicas de actualización.

Questions fréquentes

Que signifie CVE-2025-11159 — Exécution de script externe dans H2 Database JDBC Driver ?

CVE-2025-11159 décrit une vulnérabilité critique permettant l'exécution de code arbitraire via le pilote JDBC H2 dans Pentaho Data Integration & Analytics. Un administrateur malveillant peut exploiter cette faille pour prendre le contrôle du système.

Suis-je affecté par CVE-2025-11159 dans H2 Database JDBC Driver ?

Si vous utilisez Pentaho Data Integration & Analytics avec le pilote JDBC H2 dans les versions 1.0.0 à 11.0, vous êtes potentiellement affecté. Vérifiez immédiatement votre version et appliquez la correction.

Comment corriger CVE-2025-11159 dans H2 Database JDBC Driver ?

La correction consiste à mettre à jour Pentaho Data Integration & Analytics vers la version 11.0 ou supérieure. Si la mise à jour n'est pas possible, restreignez l'accès aux fonctions d'administration de source de données.

CVE-2025-11159 est-il activement exploité ?

À l'heure actuelle, il n'y a pas de preuves publiques d'exploitation active de CVE-2025-11159, mais la probabilité d'exploitation est considérée comme moyenne.

Où puis-je trouver l'avis officiel de Hitachi Vantara pour CVE-2025-11159 ?

Consultez le site web de Hitachi Vantara ou les canaux de communication habituels pour les avis de sécurité concernant Pentaho Data Integration & Analytics. La CVE est publiée sur le site du NIST.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
Java / Maven

Détecte cette CVE dans ton projet

Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.

Téléverser pom.xmlFormats supportés: pom.xml · build.gradle
en directfree scan

Scannez votre projet Java / Maven maintenant — sans compte

Téléchargez votre pom.xml et obtenez le rapport de vulnérabilité instantanément. Pas de compte. Le téléchargement du fichier n'est qu'un début : avec un compte, vous bénéficiez d'une surveillance continue, d'alertes Slack/e-mail, de rapports multi-projets et en marque blanche.

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...