Критична вразливість віддаленого виконання коду в H2O-3 через REST API
Вразливість CVE-2026-3960 в H2O-3 дозволяє віддалене виконання коду через REST API. Оновіть до версії 3.46.0.10 для захисту.
- CVSS
- 9.8 CRITICAL
- EPSS
- 56.53%
- Активно використовується
- немає в KEV
- Продукт
- h2o
Що відомо
У H2O-3 версії 3.46.0.9 та раніших виявлено критичну вразливість віддаленого виконання коду через неавторизований REST API /99/ImportSQLTable. Уразливість пов’язана з недостатніми заходами безпеки в механізмі чорного списку параметрів, що дозволяє обійти обмеження, використовуючи PostgreSQL JDBC параметри.
Бізнес-вплив
Ця вразливість дозволяє зловмисникам без автентифікації виконувати довільний код на сервері H2O-3 з правами процесу, що створює серйозну загрозу для безпеки даних і стабільності сервісу. Власники інфраструктури повинні розглянути можливі ризики компрометації системи та вплив на бізнес-процеси.
Рекомендовані дії адміністратора
Рекомендується оновити H2O-3 до версії 3.46.0.10 або новішої, де ця проблема виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до REST API, перевірити журнали на ознаки експлуатації та ретельно контролювати використання JDBC параметрів. Важливо також переглянути політики безпеки та пріоритезувати виправлення цієї вразливості.