Vulnerabilidad en Valtimo (CVE-2025-58059)

Valtimo es una plataforma para la Automatización de Procesos de Negocio. En versiones anteriores a la 12.16.0.RELEASE, y desde la 13.0.0.RELEASE hasta la 13.1.2.RELEASE, cualquier administrador que pueda crear o modificar y ejecutar definiciones de procesos podría obtener acceso a datos o recursos sensibles. Esto incluye, entre otros: ejecutar archivos ejecutables en el host de la aplicación, inspeccionar y extraer datos del entorno del host o de las propiedades de la aplicación, beans de Spring (contexto de la aplicación, pooling de la base de datos). Las siguientes condiciones deben cumplirse para realizar este ataque: el usuario debe haber iniciado sesión, tener el rol de administrador, y debe tener algún conocimiento sobre la ejecución de scripts a través del motor Camunda/Operator. La versión 12.16.0 y la 13.1.2 han sido parcheadas. Se recomienda encarecidamente actualizar. Si no se necesita scripting en ninguno de los procesos, podría ser posible deshabilitarlo por completo a través de la ProcessEngineConfiguration. Sin embargo, esta solución alternativa podría provocar efectos secundarios inesperados.