Hitachi Vantara修補Pentaho資料整合與分析平臺重大漏洞,未更新可能導致遠端執行程式碼攻擊
來源: iThome | URL: https://www.ithome.com.tw/news/176013 | 日期: 2026-05-21
漏洞摘要
| 項目 | 詳情 |
|---|---|
| CVE編號 | CVE-2025-11159 |
| CVSS評分 | 9.1(重大) |
| 受影響產品 | Pentaho Data Integration & Analytics |
| 修補版本 | 10.2.0.7 / 11.0.0.0 以上 |
| 公告日期 | 2026-05-21 |
漏洞細節
- 根本原因:Pentaho平臺內含的 H2 資料庫 JDBC 驅動程式存在漏洞
- 觸發條件:在ODBC資料來源管理者建立新連線時產生
- 攻擊影響:執行外部指令碼、存取敏感檔案、遠端程式碼執行(RCE)
修補措施
- 自 10.2.0.7 與 11.0.0.0 版起,Pentaho 不再包含 H2 JDBC 驅動程式
- 建議所有用戶立即升級
背景資訊
- Hitachi Vantara 前身 Hitachi Data Systems 於 2015 年併購 Pentaho
- Pentaho 產品線涵蓋 Pentaho Data Integration(ETL)與 Pentaho Business Analytics(BI)