Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08539

Опубликовано: 23 нояб. 2022
Источник: fstec
CVSS3: 8.4
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость веб-интерфейса системы управления базами данных H2.связана с незашифрованным хранением конфиденциальной информации. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Сообщество свободного программного обеспечения
SonarSource

Наименование ПО

Debian GNU/Linux
SonarQube
H2

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
9.3.3 (SonarQube)
до 2.1.214 (H2)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.
Использование рекомендаций:
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-45868
Для H2:
https://github.com/h2database/h2database/blob/96832bf5a97cdc0adc1f2066ed61c54990d66ab5/h2/src/main/org/h2/server/web/WebServer.java#L346-L347

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 28%
0.00099
Низкий

8.4 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-45868

CVSS3: 8.4
ubuntu
почти 3 года назад

The web-based admin console in H2 Database Engine before 2.2.220 can be started via the CLI with the argument -webAdminPassword, which allows the user to specify the password in cleartext for the web admin console. Consequently, a local user (or an attacker that has obtained local access through some means) would be able to discover the password by listing processes and their arguments. NOTE: the vendor states "This is not a vulnerability of H2 Console ... Passwords should never be passed on the command line and every qualified DBA or system administrator is expected to know that." Nonetheless, the issue was fixed in 2.2.220.

nvd логотип

CVE-2022-45868

CVSS3: 8.4
nvd
почти 3 года назад

The web-based admin console in H2 Database Engine before 2.2.220 can be started via the CLI with the argument -webAdminPassword, which allows the user to specify the password in cleartext for the web admin console. Consequently, a local user (or an attacker that has obtained local access through some means) would be able to discover the password by listing processes and their arguments. NOTE: the vendor states "This is not a vulnerability of H2 Console ... Passwords should never be passed on the command line and every qualified DBA or system administrator is expected to know that." Nonetheless, the issue was fixed in 2.2.220.

debian логотип

CVE-2022-45868

CVSS3: 8.4
debian
почти 3 года назад

The web-based admin console in H2 Database Engine before 2.2.220 can b ...

github логотип

GHSA-22wj-vf5f-wrvj

CVSS3: 7.8
github
почти 3 года назад

Password exposure in H2 Database

EPSS

Процентиль: 28%
0.00099
Низкий

8.4 High

CVSS3

7.2 High

CVSS2