Hitachi Vantara修補Pentaho資料整合與分析平臺重大漏洞,未更新可能導致遠端執行程式碼攻擊

來源: iThome | URL: https://www.ithome.com.tw/news/176013 | 日期: 2026-05-21

漏洞摘要

項目詳情
CVE編號CVE-2025-11159
CVSS評分9.1(重大)
受影響產品Pentaho Data Integration & Analytics
修補版本10.2.0.7 / 11.0.0.0 以上
公告日期2026-05-21

漏洞細節

  • 根本原因:Pentaho平臺內含的 H2 資料庫 JDBC 驅動程式存在漏洞
  • 觸發條件:在ODBC資料來源管理者建立新連線時產生
  • 攻擊影響:執行外部指令碼、存取敏感檔案、遠端程式碼執行(RCE)

修補措施

  • 自 10.2.0.7 與 11.0.0.0 版起,Pentaho 不再包含 H2 JDBC 驅動程式
  • 建議所有用戶立即升級

背景資訊

  • Hitachi Vantara 前身 Hitachi Data Systems 於 2015 年併購 Pentaho
  • Pentaho 產品線涵蓋 Pentaho Data Integration(ETL)與 Pentaho Business Analytics(BI)

衍生頁面