Vulnerabilitat d’injecció de codi arbitrari i execució remota de codi (RCE) a H2O-3 (versions anteriors a la 3.46.0.10).
29/05/2026
CVE-2026-3960
CRÍTIC (9,8)
CVSS3: 0,0
Hi ha una vulnerabilitat crítica d’execució remota de codi al punt final de l’API REST no autenticada /99/ImportSQLTable a la versió 3.46.0.9 i anteriors d’H2O-3. La vulnerabilitat sorgeix a causa de controls de seguretat insuficients en el mecanisme de llista negra de paràmetres, que només té com a objectiu paràmetres perillosos específics del controlador JDBC de MySQL. Un atacant pot eludir aquests controls canviant el protocol d’URL JDBC a jdbc:postgresql: i explotant paràmetres específics del controlador JDBC de PostgreSQL, com ara socketFactory i socketFactoryArg. Això permet que els atacants no autenticats executin codi arbitrari al servidor H2O-3 amb els privilegis del procés H2O-3.
Sistemes Afectats
- H2O H2O
Remediació
El problema es resol a la versió 3.46.0.10. Vegeu-ne les Referències.
