anonhaven

CVE-2025-11158

CRITICAL CVSS 3.1: 9,1 EPSS 0.02%
Обновлено 10 марта 2026
Hitachi
Параметр Значение
CVSS 9,1 (CRITICAL)
Уязвимые версии до 10.2.0.6
Тип уязвимости CWE-862 (Отсутствие авторизации)
Поставщик Hitachi
Публичный эксплойт Нет

Версии Hitachi Vantara Pentaho Data Integration & Analytics до 10.2.0.6, включая 9.3.x и 8.3.x, не ограничивают использование сценариев Groovy в новых отчетах PRPT, публикуемых пользователями, что позволяет вставлять произвольные сценарии и приводит к RCE.

Показать оригинальное описание (EN)

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6, including 9.3.x and 8.3.x, do not restrict Groovy scripts in new PRPT reports published by users, allowing insertion of arbitrary scripts and leading to a RCE.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-862 Missing Authorization (Отсутствие авторизации)

Ссылки 2

https://support.pentaho.com/hc/en-us/articles/39975058295821--Resolved-Hitachi-…
security.vulnerabilities@hitachivantara.com
https://www.ox.security/blog/cve-2025-11158/
af854a3a-2127-422b-91ae-364da2661108
Share Post Share Share Share