CVE-2026-3960 in h2o-3
Resumen
por VulDB • 2026-05-15
Existe una vulnerabilidad crítica de ejecución remota de código (RCE) en el punto de conexión de la API REST /99/ImportSQLTable sin autenticación en H2O-3 versión 3.46.0.9 y versiones anteriores. La vulnerabilidad surge debido a controles de seguridad insuficientes en el mecanismo de lista negra de parámetros, que solo apunta a parámetros peligrosos específicos del controlador JDBC de MySQL. Un atacante puede eludir estos controles cambiando el protocolo de la URL JDBC a jdbc:postgresql: y explotando parámetros específicos del controlador JDBC de PostgreSQL, como socketFactory y socketFactoryArg. Esto permite a atacantes no autenticados ejecutar código arbitrario en el servidor H2O-3 con los privilegios del proceso H2O-3. El problema se resuelve en la versión 3.46.0.10.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.