CVE-2026-3960 in h2o-3información

Resumen

por VulDB • 2026-05-15

Existe una vulnerabilidad crítica de ejecución remota de código (RCE) en el punto de conexión de la API REST /99/ImportSQLTable sin autenticación en H2O-3 versión 3.46.0.9 y versiones anteriores. La vulnerabilidad surge debido a controles de seguridad insuficientes en el mecanismo de lista negra de parámetros, que solo apunta a parámetros peligrosos específicos del controlador JDBC de MySQL. Un atacante puede eludir estos controles cambiando el protocolo de la URL JDBC a jdbc:postgresql: y explotando parámetros específicos del controlador JDBC de PostgreSQL, como socketFactory y socketFactoryArg. Esto permite a atacantes no autenticados ejecutar código arbitrario en el servidor H2O-3 con los privilegios del proceso H2O-3. El problema se resuelve en la versión 3.46.0.10.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

@huntr Ai

Reservar

2026-03-11

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359128

CPE

listo

EPSS

0.00938

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!