CVE-2025-11159: RCE in Hitachi Pentaho Data Integration
プラットフォーム
java
コンポーネント
h2database
修正版
11.0
CVE-2025-11159は、Hitachi Pentaho Data Integrationで使用されているH2データベースJDBCドライバにおけるリモートコード実行(RCE)の脆弱性です。データソース管理者が新規接続を作成する際に、悪意のあるコードが実行される可能性があります。この脆弱性は、Pentaho Data Integrationのすべてのバージョン(1.0.0~11.0)に影響を与えます。バージョン11.0へのアップデートで修正されています。
このCVEがあなたのプロジェクトに影響するか確認
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。
影響と攻撃シナリオ
この脆弱性を悪用されると、攻撃者はPentaho Data Integrationサーバ上で任意のコードを実行できる可能性があります。これにより、機密データ(データベースの内容、認証情報など)の窃取、システムの改ざん、さらにはサーバ全体の制御奪取といった深刻な被害が発生する可能性があります。攻撃者は、データソース管理者の権限を悪用し、データベースへの不正アクセスや、他のシステムへの横展開を試みることも考えられます。この脆弱性は、類似のJDBCドライバの脆弱性と同様に、広範囲な影響を及ぼす可能性があります。
悪用の状況
この脆弱性は、まだKEV(Kernel Exploitability Tracking)に登録されていません。EPSS(Exploit Prediction Scoring System)のスコアは、現時点では評価されていません。公開されているPoC(Proof of Concept)は確認されていませんが、RCEの脆弱性であるため、今後悪用される可能性は高いと考えられます。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の公開日は2026年5月13日です。
脅威インテリジェンス
エクスプロイト状況
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- 高 — 管理者または特権アカウントが必要。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- Reserved
- 公開日
緩和策と回避策
バージョン11.0へのアップデートが推奨されます。もしアップデートが困難な場合は、データソース管理者が新規接続を作成する際に、入力値を厳密に検証するなどの対策を講じる必要があります。また、WAF(Web Application Firewall)やプロキシサーバを使用して、悪意のあるコードの実行をブロックすることも有効です。H2データベースのバージョンを最新に保つことも重要です。アップデート後、Pentaho Data Integrationサーバを再起動し、接続設定を再確認することで、脆弱性が解消されていることを確認してください。
修正方法翻訳中…
Actualice el controlador JDBC de H2 a la versión 10.2.0.7 o superior, o a la versión 11.0 o superior, para mitigar la vulnerabilidad de ejecución de scripts externos. Verifique la configuración de la fuente de datos para asegurar que solo usuarios autorizados puedan crear nuevas conexiones. Consulte la documentación de Hitachi Vantara Pentaho para obtener instrucciones específicas de actualización.
よくある質問
CVE-2025-11159 — RCE in Hitachi Pentaho Data Integrationとは何ですか?
CVE-2025-11159は、Hitachi Pentaho Data Integrationで使用されているH2データベースJDBCドライバにおいて、データソース管理者による新規接続作成時に外部スクリプト実行の脆弱性です。攻撃者は、この脆弱性を悪用して、サーバ上で任意のコードを実行できる可能性があります。
CVE-2025-11159 in Hitachi Pentaho Data Integrationに影響を受けますか?
Hitachi Pentaho Data Integrationのバージョンが1.0.0~11.0を使用している場合、この脆弱性に影響を受ける可能性があります。バージョン11.0以降を使用している場合は、影響を受けません。
CVE-2025-11159 in Hitachi Pentaho Data Integrationを修正するにはどうすればよいですか?
バージョン11.0へのアップデートが推奨されます。もしアップデートが困難な場合は、データソース管理者が新規接続を作成する際に、入力値を厳密に検証するなどの対策を講じる必要があります。
CVE-2025-11159は積極的に悪用されていますか?
現時点では、公開されているPoCは確認されていませんが、RCEの脆弱性であるため、今後悪用される可能性は高いと考えられます。
CVE-2025-11159に関するHitachiの公式アドバイザリはどこで入手できますか?
Hitachiの公式アドバイザリは、Hitachiのセキュリティ情報ページで確認できます。詳細は、NVD(National Vulnerability Database)またはCISA(Cybersecurity and Infrastructure Security Agency)の公開情報を参照してください。
このCVEがあなたのプロジェクトに影響するか確認
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。
Java / Mavenプロジェクトを今すぐスキャン — アカウント不要
Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...