PT-2024-39280 · H2O.Ai · H2O-3

Aftersnow

·

Publicado

2024-09-14

·

Atualizado

2024-09-20

·

CVE-2024-8862

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas:
h2oai h2o-3 versão 3.46.0.4
Descrição:
Foi identificada uma falha crítica na função getConnectionSafe do componente JDBC Connection Handler, afetando o arquivo /dtale/chart-data/1. A manipulação do argumento query leva à deserialização. Essa falha pode ser explorada remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu.
Recomendações:
Para o h2oai h2o-3 versão 3.46.0.4, como solução temporária, considere desativar a função getConnectionSafe até que um patch esteja disponível. Restrinja o acesso ao endpoint /dtale/chart-data/1 para minimizar o risco de exploração. Evite usar o parâmetro query no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Special Elements Injection

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-502

Identificadores relacionados

CVE-2024-8862
GHSA-FG5M-M723-7MV6

Produtos afetados

H2O-3