CVE-2025-11158
KrytyczneStreszczenie
Wersje Hitachi Vantara Pentaho Data Integration & Analytics przed 10.2.0.6, w tym 9.3.x i 8.3.x, nie ograniczają skryptów Groovy w nowych raportach PRPT publikowanych przez użytkowników, co pozwala na wstawianie dowolnych skryptów i prowadzi do zdalnego wykonania kodu (RCE).
Ocena ryzyka
Brak ograniczeń w skryptach Groovy stwarza poważne ryzyko zdalnego wykonania kodu, co może prowadzić do kompromitacji systemów i danych organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 10.2.0.6 lub nowszej oraz wdrożenie odpowiednich mechanizmów ograniczających możliwość wstawiania skryptów przez użytkowników.
Oryginalny opis (angielski, źródło NVD)
Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6, including 9.3.x and 8.3.x, do not restrict Groovy scripts in new PRPT reports published by users, allowing insertion of arbitrary scripts and leading to a RCE.

