Описание
The H2O machine learning platform uses "Iced" classes as the primary means of moving Java Objects around the cluster. The Iced format supports inclusion of serialized Java objects. When a model is deserialized, any class is allowed to be deserialized (no class whitelist). An attacker can construct a crafted Iced model that uses Java gadgets and leads to arbitrary code execution when imported to the H2O platform.
EPSS
Процентиль: 47%
0.00241
Низкий
7.5 High
CVSS3
Дефекты
CWE-502
CWE-502
Связанные уязвимости
CVSS3: 7.5
github
больше 1 года назад
H2O vulnerable to Deserialization of Untrusted Data
CVSS3: 7.5
fstec
больше 1 года назад
Уязвимость классов Iced платформы машинного обучения H2O, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 47%
0.00241
Низкий
7.5 High
CVSS3
Дефекты
CWE-502
CWE-502