CVE-2025-58059

CRÍTIC (9,1)

CVSS3: 0,0

Valtimo és una plataforma per a l’automatització de processos empresarials. En versions anteriors a la 12.16.0, i des de la 13.0.0 fins a les anteriors a la 13.1.2, qualsevol administrador que pugui crear o modificar i executar definicions de processos podria obtenir accés a dades o recursos delicats. Això inclou, entre d’altres: executar executables a l’amfitrió de l’aplicació, inspeccionar i extreure dades de l’entorn de l’amfitrió o de les propietats de l’aplicació Spring beans (context de l’aplicació, agrupació de bases de dades). Cal complir les condicions següents per dur a terme aquest atac: l’usuari ha d’haver iniciat la sessió, tenir el rol d’administrador i ha de tenir coneixements sobre l’execució de scripts a través del motor Camunda/Operator.

Sistemes Afectats

• valtimo-platform valtimo-backend-libraries

Remediació
S’han aplicat pedaços a les versions 12.16.0 i 13.1.2. Es recomana fermament actualitzar-les. Si no cal cap script en cap dels processos, és possible desactivar-lo completament mitjançant la configuració de Process Engine. Tanmateix, aquesta solució alternativa podria provocar efectes secundaris inesperats.

Referències

• https://github.com/valtimo-platform/valtimo-backend-libraries/security/advisories/GHSA-w48j-pp7j-fj55
• https://github.com/valtimo-platform/valtimo-backend-libraries/commit/45eb60b0b2df5964fb9917295d0dceb1fff8dd85
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/58xxx/CVE-2025-58059.json