CVE-2021-42392

Versões do H2 Console de 1.1.100 a 2.0.204

O problema está relacionado ao método org.h2.util.JdbcUtils.getConnection do banco de dados H2, que recebe como parâmetros o nome da classe do driver e a URL do banco de dados. Um invasor pode passar um nome de driver JNDI e uma URL que leve a um servidor LDAP ou RMI, causando a execução remota de código. Isso pode ser explorado por meio de vários vetores de ataque, principalmente através do H2 Console, o que leva à execução remota de código sem autenticação. O H2 Console não aceita conexões remotas por padrão, mas se o acesso remoto foi habilitado explicitamente e nenhum método de proteção foi definido, um invasor pode carregar sua própria classe personalizada e executar seu código em um processo com o H2 Console.

Para as versões 1.1.100 a 2.0.204, considere atualizar para a versão 2.0.206 ou posterior, na qual o H2 Console e as tabelas vinculadas proíbem explicitamente tentativas de especificar URLs LDAP para JNDI.

Como solução alternativa temporária, restrinja o acesso ao H2 Console para minimizar o risco de exploração.

Evite usar a configuração -webAllowOthers, pois ela é considerada perigosa.

Se o H2 Console Servlet estiver implantado em um servidor web, proteja-o com uma restrição de segurança.

Descomente e edite <security-role> e <security-constraint> conforme necessário para garantir as configurações de segurança adequadas.

No momento, não há outras informações sobre medidas de mitigação adicionais.