Описание
Уязвимость платформы машинного обучения H2O связана с недостатками механизма десериализации при обработке ключей и значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности, раскрыть защищаемую информацию и выполнить произвольный код
Вендор
H2O.ai, Inc.
Наименование ПО
H2O
Версия ПО
до 3.46.0.8 включительно (H2O)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/h2oai/h2o-3/commit/0298ee348f5c73673b7b542158081e79605f5f25
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 55%
0.0033
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
5 месяцев назад
A deserialization vulnerability exists in h2oai/h2o-3 versions <= 3.46.0.8, allowing attackers to read arbitrary system files and execute arbitrary code. The vulnerability arises from improper handling of JDBC connection parameters, which can be exploited by bypassing regular expression checks and using double URL encoding. This issue impacts all users of the affected versions.
EPSS
Процентиль: 55%
0.0033
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2