Escanear grátis
Análise pendenteCVE-2025-11159

CVE-2025-11159: RCE no Driver JDBC H2 em Pentaho

Plataforma

java

Componente

h2database

Corrigido em

11.0

Ver no NVD
Salvar

Uma vulnerabilidade de execução de script externo (RCE) foi descoberta no driver JDBC da H2, utilizado pelo Hitachi Vantara Pentaho Data Integration & Analytics. Esta falha permite que um administrador de fonte de dados, ao criar uma nova conexão, execute código arbitrário no sistema. As versões afetadas incluem 1.0.0 até 11.0. A correção para esta vulnerabilidade crítica está disponível na versão 11.0 do Pentaho.

Java / Maven

Detecte esta CVE no seu projeto

Envie seu arquivo pom.xml e descubra na hora se você está afetado.

Enviar pom.xmlFormatos suportados: pom.xml · build.gradle

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite a um atacante obter controle total sobre o sistema Pentaho. Um atacante pode injetar código malicioso através da criação de uma nova conexão de fonte de dados, resultando na execução de comandos arbitrários com os privilégios do usuário Pentaho. Isso pode levar ao roubo de dados confidenciais, modificação de dados, instalação de malware ou até mesmo o comprometimento completo da infraestrutura. Dada a natureza crítica da vulnerabilidade e a possibilidade de execução remota de código, o impacto potencial é significativo.

Contexto de Exploração

A vulnerabilidade CVE-2025-11159 foi publicada em 2026-05-13. A probabilidade de exploração é considerada alta (EPSS score pendente), dada a facilidade de exploração e o impacto potencial. Não há informações disponíveis sobre campanhas de exploração ativas no momento da publicação. Consulte o National Vulnerability Database (NVD) e o site da Hitachi Vantara para obter informações adicionais.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

CISA SSVC

Exploitationnone
Automatableno
Technical Impacttotal

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredHighNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Alto — conta de administrador ou privilegiada necessária.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componenteh2database
FornecedorHitachi Vantara
Versão mínima1.0.0
Versão máxima11.0
Corrigido em11.0

Classificação de Fraqueza (CWE)

CWE-1395

Linha do tempo

  1. Reserved
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é a atualização imediata para a versão 11.0 do Pentaho Data Integration & Analytics, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere as seguintes medidas de mitigação: Restrinja o acesso à funcionalidade de administração de fontes de dados apenas a usuários confiáveis. Implemente um firewall de aplicações web (WAF) para bloquear solicitações maliciosas que tentem explorar a vulnerabilidade. Monitore os logs do Pentaho em busca de atividades suspeitas, como tentativas de criação de conexões de fonte de dados não autorizadas. Após a atualização, confirme a correção verificando os logs do sistema para garantir que não há tentativas de exploração.

Como corrigirtraduzindo…

Actualice el controlador JDBC de H2 a la versión 10.2.0.7 o superior, o a la versión 11.0 o superior, para mitigar la vulnerabilidad de ejecución de scripts externos.  Verifique la configuración de la fuente de datos para asegurar que solo usuarios autorizados puedan crear nuevas conexiones. Consulte la documentación de Hitachi Vantara Pentaho para obtener instrucciones específicas de actualización.

Perguntas frequentes

O que é CVE-2025-11159 — RCE no driver JDBC H2 em Pentaho?

CVE-2025-11159 é uma vulnerabilidade de execução de script externo (RCE) no driver JDBC da H2, usado pelo Pentaho. Um administrador pode criar conexões para executar código malicioso, comprometendo o sistema.

Estou afetado pelo CVE-2025-11159 em Pentaho?

Se você estiver usando o Pentaho Data Integration & Analytics nas versões 1.0.0 até 11.0, você está potencialmente afetado. Verifique a versão instalada e atualize imediatamente.

Como corrigir CVE-2025-11159 em Pentaho?

A correção é a atualização para a versão 11.0 do Pentaho Data Integration & Analytics. Se a atualização não for possível, implemente medidas de mitigação como restrição de acesso e WAF.

CVE-2025-11159 está sendo ativamente explorado?

Não há informações disponíveis sobre campanhas de exploração ativas no momento da publicação, mas a probabilidade de exploração é considerada alta devido à facilidade de exploração.

Onde posso encontrar o advisory oficial da Hitachi Vantara para CVE-2025-11159?

Consulte o site da Hitachi Vantara para obter o advisory oficial e informações adicionais sobre a vulnerabilidade e a correção: [https://www.hitachivantara.com/](https://www.hitachivantara.com/)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
Java / Maven

Detecte esta CVE no seu projeto

Envie seu arquivo pom.xml e descubra na hora se você está afetado.

Enviar pom.xmlFormatos suportados: pom.xml · build.gradle
ao vivoverificação gratuita

Escaneie seu projeto Java / Maven agora — sem conta

Envie seu pom.xml e receba o relatório de vulnerabilidades instantaneamente. Sem conta. Enviar o arquivo é só o começo: com uma conta você obtém monitoramento contínuo, alertas por Slack/e-mail, relatórios multi-projeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...