Krytyczna luka RCE w h2o umożliwiająca zdalne wykonanie kodu

Krytyczna luka w h2o-3 pozwala na zdalne wykonanie kodu przez niezalogowanych użytkowników. Zalecana szybka aktualizacja do wersji 3.46.0.10.
CVE-2026-3960CVSS 9.8Database

Krytyczna luka RCE w h2o umożliwiająca zdalne wykonanie kodu

Krytyczna luka w h2o-3 pozwala na zdalne wykonanie kodu przez niezalogowanych użytkowników. Zalecana szybka aktualizacja do wersji 3.46.0.10.

CVSS
9.8 CRITICAL
EPSS
56.53%
Aktywnie wykorzystywana
brak w KEV
Produkt
h2o

Co wiadomo

W wersji h2o-3 do 3.46.0.9 wykryto krytyczną lukę umożliwiającą zdalne wykonanie kodu przez niezalogowanych użytkowników na endpointzie REST API /99/ImportSQLTable. Luka wynika z niewystarczających zabezpieczeń mechanizmu czarnej listy parametrów, które można obejść, wykorzystując parametry specyficzne dla sterownika PostgreSQL JDBC.

Wpływ biznesowy

Atakujący mogą zdalnie wykonać dowolny kod na serwerze h2o-3 z uprawnieniami procesu aplikacji, co stanowi poważne zagrożenie dla integralności i dostępności systemu. Wykorzystanie tej luki może prowadzić do przejęcia kontroli nad infrastrukturą bazodanową i potencjalnie dalszych ataków w sieci firmowej.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie h2o-3 do wersji 3.46.0.10 lub nowszej, w której luka została załatana. W międzyczasie warto ograniczyć dostęp do REST API, monitorować logi pod kątem podejrzanej aktywności oraz przeglądnąć konfigurację zabezpieczeń JDBC, aby zminimalizować ryzyko wykorzystania tej luki.

Źródła