CVE-2025-6544

Опубликовано: 21 сент. 2025

Источник: nvd

CVSS3: 9.8

EPSS Низкий

Описание

A deserialization vulnerability exists in h2oai/h2o-3 versions <= 3.46.0.8, allowing attackers to read arbitrary system files and execute arbitrary code. The vulnerability arises from improper handling of JDBC connection parameters, which can be exploited by bypassing regular expression checks and using double URL encoding. This issue impacts all users of the affected versions.

Ссылки

https://github.com/h2oai/h2o-3/commit/0298ee348f5c73673b7b542158081e79605f5f25
Patch
https://huntr.com/bounties/53f35a0f-d644-4f82-93aa-89fe7e0aed40
Exploit
Third Party Advisory
https://huntr.com/bounties/53f35a0f-d644-4f82-93aa-89fe7e0aed40
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:h2o:h2o:*:*:*:*:*:*:*:*

Версия от 3.0.0.2 (включая) до 3.46.0.8 (включая)

EPSS

Процентиль: 43%

0.00205

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-502

Связанные уязвимости

GHSA-5w3j-gwgh-4rfv

CVSS3: 9.8

github

5 месяцев назад

H2O affected by a deserialization vulnerability

BDU:2025-11489

CVSS3: 9.8

fstec

8 месяцев назад

Уязвимость платформы машинного обучения H2O, связанная с недостатками механизма десериализации, позволяющая нарушителю обойти ограничения безопасности, раскрыть защищаемую информацию и выполнить произвольный код

EPSS

Процентиль: 43%

0.00205

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-502