A vulnerability in the `/3/ParseSetup` endpoint of h2oai/h2o-3 version 3.46.0.1 allows for a denial of service (DoS) attack. The endpoint applies a user-specified regular expression to a user-controllable string. This can be exploited by an attacker to cause inefficient regular expression complexity, leading to the exhaustion of server resources and making the server unresponsive.
oryginał ENCVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HH2o
APPH2O3.46.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Powiązane podatności
CVE-2026-3960CRITICAL9.8PL ✓ten sam produkt
RCE przez obejście blacklisty JDBC w REST API H2O-3
CVE-2025-6544CRITICAL9.8PL ✓ten sam produkt
Deserializacja w H2O umożliwia RCE i odczyt plików systemowych
CVE-2024-10553CRITICAL9.8PL ✓ten sam produkt
RCE poprzez deserializację w REST API h2oai/h2o-3 (JDBC URL)
CVE-2024-45758CRITICAL9.1PL ✓ten sam produkt
H2O.ai H2O — RCE i odczyt plików przez niekontrolowany JDBC URL
CVE-2023-6016CRITICAL9.8ten sam produkt
An attacker is able to gain remote code execution on a server hosting the H2O dashboard through it's POJO mode...