Katalog CVE

CVE-2025-11158

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Hitachi Vantara Pentaho Data Integration & Analytics przed 10.2.0.6, w tym 9.3.x i 8.3.x, nie ograniczają skryptów Groovy w nowych raportach PRPT publikowanych przez użytkowników, co pozwala na wstawianie dowolnych skryptów i prowadzi do zdalnego wykonania kodu (RCE).

Ocena ryzyka

Brak ograniczeń w skryptach Groovy stwarza poważne ryzyko zdalnego wykonania kodu, co może prowadzić do kompromitacji systemów i danych organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 10.2.0.6 lub nowszej oraz wdrożenie odpowiednich mechanizmów ograniczających możliwość wstawiania skryptów przez użytkowników.

Oryginalny opis (angielski, źródło NVD)

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6, including 9.3.x and 8.3.x, do not restrict Groovy scripts in new PRPT reports published by users, allowing insertion of arbitrary scripts and leading to a RCE.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS