CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-5662

Critical
Published: Translated: NVD NIST

Summary

W API REST H2O-3 (POST /99/ImportSQLTable) występuje podatność na deserializację, która dotyczy wszystkich wersji do 3.46.0.7. Podatność ta umożliwia zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji parametrów połączenia JDBC przy użyciu formatu Key-Value.

Risk Assessment

Organizacja jest narażona na zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wykorzystanie tej podatności przez atakującego może skutkować pełną kontrolą nad systemem.

Recommendation

Zaleca się aktualizację do wersji 3.46.0.8, aby usunąć tę podatność. Należy również przeprowadzić audyt zabezpieczeń, aby zminimalizować ryzyko związane z innymi potencjalnymi lukami.

Original NVD description (English source)

A deserialization vulnerability exists in the H2O-3 REST API (POST /99/ImportSQLTable) that affects all versions up to 3.46.0.7. This vulnerability allows remote code execution (RCE) due to improper validation of JDBC connection parameters when using a Key-Value format. The vulnerability is present in the MySQL JDBC Driver version 8.0.19 and JDK version 8u112. The issue is resolved in version 3.46.0.8.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS