Katalog CVE

CVE-2025-6507

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w repozytorium h2oai/h2o-3 umożliwia atakującym wykorzystanie deserializacji nieufnych danych, co może prowadzić do wykonania dowolnego kodu oraz odczytu plików systemowych. Problem dotyczy najnowszej wersji gałęzi master 3.47.0.99999 i wynika z możliwości ominięcia filtrów wyrażeń regularnych, które mają na celu zapobieganie wstrzykiwaniu złośliwych parametrów w połączeniach JDBC.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do plików oraz wykonanie złośliwego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację do wersji 3.46.0.8, która rozwiązuje tę podatność, aby zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in the h2oai/h2o-3 repository allows attackers to exploit deserialization of untrusted data, potentially leading to arbitrary code execution and reading of system files. This issue affects the latest master branch version 3.47.0.99999. The vulnerability arises from the ability to bypass regular expression filters intended to prevent malicious parameter injection in JDBC connections. Attackers can manipulate spaces between parameters to evade detection, allowing for unauthorized file access and code execution. The vulnerability is addressed in version 3.46.0.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS