Krytyczna luka RCE w h2o umożliwiająca zdalne wykonanie kodu
Krytyczna luka w h2o-3 pozwala na zdalne wykonanie kodu przez niezalogowanych użytkowników. Zalecana szybka aktualizacja do wersji 3.46.0.10.
- CVSS
- 9.8 CRITICAL
- EPSS
- 56.53%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- h2o
Co wiadomo
W wersji h2o-3 do 3.46.0.9 wykryto krytyczną lukę umożliwiającą zdalne wykonanie kodu przez niezalogowanych użytkowników na endpointzie REST API /99/ImportSQLTable. Luka wynika z niewystarczających zabezpieczeń mechanizmu czarnej listy parametrów, które można obejść, wykorzystując parametry specyficzne dla sterownika PostgreSQL JDBC.
Wpływ biznesowy
Atakujący mogą zdalnie wykonać dowolny kod na serwerze h2o-3 z uprawnieniami procesu aplikacji, co stanowi poważne zagrożenie dla integralności i dostępności systemu. Wykorzystanie tej luki może prowadzić do przejęcia kontroli nad infrastrukturą bazodanową i potencjalnie dalszych ataków w sieci firmowej.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie h2o-3 do wersji 3.46.0.10 lub nowszej, w której luka została załatana. W międzyczasie warto ograniczyć dostęp do REST API, monitorować logi pod kątem podejrzanej aktywności oraz przeglądnąć konfigurację zabezpieczeń JDBC, aby zminimalizować ryzyko wykorzystania tej luki.