PT-2022-7166 · Unknown+1 · H2 Database Engine+1
Legolasbo
+3
·
Publicado
2022-11-23
·
Atualizado
2024-08-03
·
CVE-2022-45868
CVSS v3.1
8.4
Alta
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do H2 Database Engine anteriores à 2.2.220
Descrição
O console de administração baseado na web no H2 Database Engine pode ser iniciado via CLI com o argumento
-webAdminPassword, o que permite ao usuário especificar a senha em texto simples para o console de administração web. Consequentemente, um usuário local (ou um invasor que tenha obtido acesso local por algum meio) seria capaz de descobrir a senha listando os processos e seus argumentos. O problema foi corrigido na versão 2.2.220.Recomendações
Para versões do H2 Database Engine anteriores à 2.2.220, atualize para a versão 2.2.220 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso do argumento
-webAdminPassword ao iniciar o console de administração baseado na web via CLI para minimizar o risco de exposição da senha.Exploit
Correção
Information Disclosure
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
H2 Database Engine