CRITICAL🇬🇧 English

CVE-2024-45758

H2O.ai H2O — RCE i odczyt plików przez niekontrolowany JDBC URL

CVSS 9.1v3.1pub. 2024-09-06upd. 2025-09-29

H2O.ai H2O w wersji do 3.46.0.4 włącznie pozwala atakującemu na dowolne ustawienie parametru JDBC URL, co prowadzi do zdalnego wykonania kodu (RCE), odczytu plików oraz ataków deserialization. Podatność jest szczególnie niebezpieczna, ponieważ nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika.

Pokaż oryginał (EN)

H2O.ai H2O through 3.46.0.4 allows attackers to arbitrarily set the JDBC URL, leading to deserialization attacks, file reads, and command execution. Exploitation can occur when an attacker has access to post to the ImportSQLTable URI with a JSON document containing a connection_url property with any typical JDBC Connection URL attack payload such as one that uses queryInterceptors.

🤖 Analiza AI
Jak działa

Atakujący wysyła żądanie HTTP POST do endpointu ImportSQLTable, dostarczając dokument JSON zawierający właściwość connection_url z dowolnym złośliwym JDBC Connection URL — np. takim, który wykorzystuje mechanizm queryInterceptors. Platforma H2O nie weryfikuje ani nie ogranicza wartości tego parametru, co umożliwia skierowanie połączenia do kontrolowanego przez atakującego serwera lub użycie payloadów deserializacji. W wyniku przetworzenia spreparowanego URL dochodzi do deserialization niezaufanych danych (CWE-502), co pozwala na wykonanie arbitralnego kodu lub odczyt plików z serwera.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie kodu (RCE) oraz odczytać dowolne pliki dostępne z poziomu procesu aplikacji. Możliwe jest całkowite skompromitowanie poufności i integralności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do endpointu ImportSQLTable na poziomie firewall lub mechanizmów uwierzytelniania, tak aby uniemożliwić nieautoryzowanym użytkownikom wysyłanie żądań POST do tego URI.

Kogo dotyczy

H2O.ai H2O w wersjach do 3.46.0.4 włącznie

Uwagi

W referencjach opublikowano publiczny proof-of-concept (gist.github.com/AfterSnows) oraz szczegółowy opis techniczny podatności jako 'Unauthenticated Remote Code Execution via Unrestricted JDBC Connection', co podnosi realne ryzyko eksploatacji mimo braku wpisu w CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • H2o

    APP
    H2O
    ≤ 3.46.0.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-3960CRITICAL9.8PL ✓ten sam produkt

RCE przez obejście blacklisty JDBC w REST API H2O-3

CVE-2025-6544CRITICAL9.8PL ✓ten sam produkt

Deserializacja w H2O umożliwia RCE i odczyt plików systemowych

CVE-2024-10553CRITICAL9.8PL ✓ten sam produkt

RCE poprzez deserializację w REST API h2oai/h2o-3 (JDBC URL)

CVE-2023-6016CRITICAL9.8ten sam produkt

An attacker is able to gain remote code execution on a server hosting the H2O dashboard through it's POJO mode...

CVE-2024-10550HIGH7.5ten sam produkt

A vulnerability in the `/3/ParseSetup` endpoint of h2oai/h2o-3 version 3.46.0.1 allows for a denial of service...