CVE-2025-5662
KrytyczneStreszczenie
W API REST H2O-3 (POST /99/ImportSQLTable) występuje podatność na deserializację, która dotyczy wszystkich wersji do 3.46.0.7. Podatność ta umożliwia zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji parametrów połączenia JDBC przy użyciu formatu Key-Value.
Ocena ryzyka
Organizacja jest narażona na zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wykorzystanie tej podatności przez atakującego może skutkować pełną kontrolą nad systemem.
Rekomendacja
Zaleca się aktualizację do wersji 3.46.0.8, aby usunąć tę podatność. Należy również przeprowadzić audyt zabezpieczeń, aby zminimalizować ryzyko związane z innymi potencjalnymi lukami.
Oryginalny opis (angielski, źródło NVD)
A deserialization vulnerability exists in the H2O-3 REST API (POST /99/ImportSQLTable) that affects all versions up to 3.46.0.7. This vulnerability allows remote code execution (RCE) due to improper validation of JDBC connection parameters when using a Key-Value format. The vulnerability is present in the MySQL JDBC Driver version 8.0.19 and JDK version 8u112. The issue is resolved in version 3.46.0.8.

