Критична вразливість віддаленого виконання коду в H2O-3 через REST API

Вразливість CVE-2026-3960 в H2O-3 дозволяє віддалене виконання коду через REST API. Оновіть до версії 3.46.0.10 для захисту.
CVE-2026-3960CVSS 9.8Database

Критична вразливість віддаленого виконання коду в H2O-3 через REST API

Вразливість CVE-2026-3960 в H2O-3 дозволяє віддалене виконання коду через REST API. Оновіть до версії 3.46.0.10 для захисту.

CVSS
9.8 CRITICAL
EPSS
56.53%
Активно використовується
немає в KEV
Продукт
h2o

Що відомо

У H2O-3 версії 3.46.0.9 та раніших виявлено критичну вразливість віддаленого виконання коду через неавторизований REST API /99/ImportSQLTable. Уразливість пов’язана з недостатніми заходами безпеки в механізмі чорного списку параметрів, що дозволяє обійти обмеження, використовуючи PostgreSQL JDBC параметри.

Бізнес-вплив

Ця вразливість дозволяє зловмисникам без автентифікації виконувати довільний код на сервері H2O-3 з правами процесу, що створює серйозну загрозу для безпеки даних і стабільності сервісу. Власники інфраструктури повинні розглянути можливі ризики компрометації системи та вплив на бізнес-процеси.

Рекомендовані дії адміністратора

Рекомендується оновити H2O-3 до версії 3.46.0.10 або новішої, де ця проблема виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до REST API, перевірити журнали на ознаки експлуатації та ретельно контролювати використання JDBC параметрів. Важливо також переглянути політики безпеки та пріоритезувати виправлення цієї вразливості.

Джерела