विश्लेषण प्रतीक्षितCVE-2025-11159

CVE-2025-11159: RCE in Hitachi Pentaho Data Integration

प्लेटफ़ॉर्म

java

घटक

h2database

में ठीक किया गया

11.0

NVD पर देखें

सहेजें

यह भेद्यता Hitachi Vantara Pentaho Data Integration & Analytics के सभी संस्करणों में मौजूद है। यह H2 डेटाबेस JDBC ड्राइवर में एक गंभीर SQL इंजेक्शन भेद्यता है, जो डेटा स्रोत प्रशासक द्वारा नया कनेक्शन बनाते समय बाहरी स्क्रिप्ट निष्पादन की अनुमति देती है। प्रभावित संस्करण 1.0.0 से 11.0 तक हैं। संस्करण 11.0 में इस समस्या का समाधान किया गया है।

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

प्रभाव और हमले की स्थितियाँ

एक हमलावर इस भेद्यता का फायदा उठाकर डेटाबेस सर्वर पर मनमाना कोड निष्पादित कर सकता है। यह डेटा चोरी, सिस्टम पर पूर्ण नियंत्रण, और अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। चूंकि भेद्यता डेटा स्रोत प्रशासक के माध्यम से शोषण की जा सकती है, इसलिए इसका प्रभाव व्यापक हो सकता है, जिससे कई सिस्टम खतरे में पड़ सकते हैं। यह भेद्यता Pentaho Data Integration & Analytics के भीतर डेटा की गोपनीयता, अखंडता और उपलब्धता को खतरे में डालती है।

शोषण संदर्भ

यह भेद्यता अभी तक KEV (Know Exploited Vulnerabilities) में सूचीबद्ध नहीं है, लेकिन CVSS स्कोर 9.1 (CRITICAL) इंगित करता है कि इसका शोषण होने की संभावना अधिक है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण-अवधारणा (POC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इसका फायदा उठाना आसान हो जाता है। NVD (National Vulnerability Database) में प्रकाशन तिथि 2026-05-13 है, इसलिए सक्रिय शोषण अभियान शुरू होने की संभावना है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

CISA SSVC

शोषणnone

स्वचालनीयno

तकनीकी प्रभावtotal

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction: कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope: बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality: उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity: उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability: उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकh2database

विक्रेताHitachi Vantara

न्यूनतम संस्करण1.0.0

अधिकतम संस्करण11.0

में ठीक किया गया11.0

कमजोरी वर्गीकरण (CWE)

CWE-1395

समयरेखा

आरक्षित2025-09-29
प्रकाशित2026-05-13

शमन और वर्कअराउंड

सबसे पहले, Pentaho Data Integration & Analytics को संस्करण 11.0 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो डेटा स्रोत प्रशासक के विशेषाधिकारों को सीमित करें और केवल विश्वसनीय उपयोगकर्ताओं को ही कनेक्शन बनाने की अनुमति दें। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके SQL इंजेक्शन हमलों को रोकने के लिए नियम कॉन्फ़िगर करें। डेटाबेस कनेक्शन को सुरक्षित करने के लिए मजबूत प्रमाणीकरण और प्राधिकरण तंत्र लागू करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, डेटाबेस कनेक्शन की जांच करें और परीक्षण करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el controlador JDBC de H2 a la versión 10.2.0.7 o superior, o a la versión 11.0 o superior, para mitigar la vulnerabilidad de ejecución de scripts externos.  Verifique la configuración de la fuente de datos para asegurar que solo usuarios autorizados puedan crear nuevas conexiones. Consulte la documentación de Hitachi Vantara Pentaho para obtener instrucciones específicas de actualización.

अक्सर पूछे जाने वाले सवाल

CVE-2025-11159 — SQL इंजेक्शन Hitachi Pentaho Data Integration में क्या है?

CVE-2025-11159 Hitachi Vantara Pentaho Data Integration & Analytics में H2 डेटाबेस JDBC ड्राइवर में एक गंभीर SQL इंजेक्शन भेद्यता है, जो डेटा स्रोत प्रशासक द्वारा नया कनेक्शन बनाते समय बाहरी स्क्रिप्ट निष्पादन की अनुमति देती है।

क्या मैं CVE-2025-11159 से Hitachi Pentaho Data Integration में प्रभावित हूं?

यदि आप Pentaho Data Integration & Analytics के संस्करण 1.0.0 से 11.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। संस्करण 11.0 या उच्चतर में अपग्रेड करें।

मैं CVE-2025-11159 से Hitachi Pentaho Data Integration को कैसे ठीक करूं?

Pentaho Data Integration & Analytics को संस्करण 11.0 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो डेटा स्रोत प्रशासक के विशेषाधिकारों को सीमित करें और WAF नियमों को कॉन्फ़िगर करें।

क्या CVE-2025-11159 सक्रिय रूप से शोषण किया जा रहा है?

CVSS स्कोर 9.1 (CRITICAL) इंगित करता है कि इसका शोषण होने की संभावना अधिक है। सार्वजनिक POC मौजूद हो सकते हैं, और सक्रिय शोषण अभियान शुरू होने की संभावना है।

मैं CVE-2025-11159 के लिए आधिकारिक Hitachi Pentaho Data Integration सलाहकार कहां पा सकता हूं?

Hitachi Vantara की सुरक्षा सलाहकार वेबसाइट पर जाएं: [https://www.hitachivantara.com/security/advisories](https://www.hitachivantara.com/security/advisories)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

liveमुफ्त स्कैन

अपने Java / Maven प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

फ़ाइलें ब्राउज़ करें