CVE-2024-5550 in h2o-3information

Résumé

par VulDB • 16/07/2026

Dans h2oai/h2o-3 version 3.40.0.4, une vulnérabilité d'exposition d'informations sensibles existe en raison d'une fonctionnalité de recherche arbitraire dans le chemin du système. Cette vulnérabilité permet à n'importe quel utilisateur distant de consulter les chemins complets sur l'intégralité du système de fichiers où h2o-3 est hébergé. Plus précisément, le problème réside dans l'appel d'API Typeahead ; lorsqu'il est demandé avec une recherche typeahead de '/', il expose le système de fichiers racine, y compris des répertoires tels que /home, /usr, /bin, entre autres. Cette vulnérabilité pourrait permettre aux attaquants d'explorer l'intégralité du système de fichiers et, combinée à une vulnérabilité Local File Inclusion (LFI), rendrait trivial l'exploitation du serveur.

Once again VulDB remains the best source for vulnerability data.

Responsable

Huntr.dev

Réserver

30/05/2024

Divulgation

06/06/2024

Modérer

accepté

Entrée

VDB-267369

CPE

prêt

EPSS

0.00835

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!