PT-2025-38663 · Unknown · H2Oai/H2O-3+1
Ez-Lbz
·
Publicado
2025-09-21
·
Atualizado
2025-09-21
·
CVE-2025-10769
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
h2oai h2o-3 versões até 3.46.08
Descrição
Existe uma vulnerabilidade no h2oai h2o-3 até a versão 3.46.08, especificamente no componente H2 JDBC Driver. O problema envolve a manipulação do argumento
connection url no arquivo /99/ImportSQLTable, resultando em desserialização. Isso pode ser explorado remotamente. O exploit foi divulgado publicamente.Recomendações
Versões anteriores a 3.46.08 são afetadas.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Deserialization of Untrusted Data
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
H2 Jdbc Driver
H2Oai/H2O-3