CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-6507

Critical
Published: Translated: NVD NIST

Summary

Podatność w repozytorium h2oai/h2o-3 umożliwia atakującym wykorzystanie deserializacji nieufnych danych, co może prowadzić do wykonania dowolnego kodu oraz odczytu plików systemowych. Problem dotyczy najnowszej wersji gałęzi master 3.47.0.99999 i wynika z możliwości ominięcia filtrów wyrażeń regularnych, które mają na celu zapobieganie wstrzykiwaniu złośliwych parametrów w połączeniach JDBC.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp do plików oraz wykonanie złośliwego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Recommendation

Zaleca się aktualizację do wersji 3.46.0.8, która rozwiązuje tę podatność, aby zabezpieczyć system przed potencjalnymi atakami.

Original NVD description (English source)

A vulnerability in the h2oai/h2o-3 repository allows attackers to exploit deserialization of untrusted data, potentially leading to arbitrary code execution and reading of system files. This issue affects the latest master branch version 3.47.0.99999. The vulnerability arises from the ability to bypass regular expression filters intended to prevent malicious parameter injection in JDBC connections. Attackers can manipulate spaces between parameters to evade detection, allowing for unauthorized file access and code execution. The vulnerability is addressed in version 3.46.0.8.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS