Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02030

Опубликовано: 19 янв. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость системы управления базами данных H2 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью функции jdbc:h2:mem, содержащей следующие настройки: IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Canonical Ltd.

Наименование ПО

Debian GNU/Linux
OpenShift Container Platform
Jboss Fuse
JBoss Enterprise Application Platform
Red Hat Single Sign-On
Red Hat BPM Suite
Ubuntu
H2

Версия ПО

9 (Debian GNU/Linux)
3.11 (OpenShift Container Platform)
7 (Jboss Fuse)
10 (Debian GNU/Linux)
7 (JBoss Enterprise Application Platform)
7 (Red Hat Single Sign-On)
6 (Red Hat BPM Suite)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
21.10 (Ubuntu)
от 1.1.100 до 2.0.206 (H2)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 21.10

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/h2database/h2database/security/advisories
https://github.com/h2database/h2database/releases/tag/version-2.1.210
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-23221.xml
Для Ubuntu
https://ubuntu.com/security/CVE-2022-23221
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23221

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.26568
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23221

CVSS3: 9.8
ubuntu
около 4 лет назад

H2 Console before 2.1.210 allows remote attackers to execute arbitrary code via a jdbc:h2:mem JDBC URL containing the IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT substring, a different vulnerability than CVE-2021-42392.

redhat логотип

CVE-2022-23221

CVSS3: 9.8
redhat
около 4 лет назад

H2 Console before 2.1.210 allows remote attackers to execute arbitrary code via a jdbc:h2:mem JDBC URL containing the IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT substring, a different vulnerability than CVE-2021-42392.

nvd логотип

CVE-2022-23221

CVSS3: 9.8
nvd
около 4 лет назад

H2 Console before 2.1.210 allows remote attackers to execute arbitrary code via a jdbc:h2:mem JDBC URL containing the IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT substring, a different vulnerability than CVE-2021-42392.

debian логотип

CVE-2022-23221

CVSS3: 9.8
debian
около 4 лет назад

H2 Console before 2.1.210 allows remote attackers to execute arbitrary ...

github логотип

GHSA-45hx-wfhj-473x

CVSS3: 9.8
github
около 4 лет назад

Arbitrary code execution in H2 Console

EPSS

Процентиль: 96%
0.26568
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2