CVE-2024-5550 in h2o-3
Résumé
par VulDB • 16/07/2026
Dans h2oai/h2o-3 version 3.40.0.4, une vulnérabilité d'exposition d'informations sensibles existe en raison d'une fonctionnalité de recherche arbitraire dans le chemin du système. Cette vulnérabilité permet à n'importe quel utilisateur distant de consulter les chemins complets sur l'intégralité du système de fichiers où h2o-3 est hébergé. Plus précisément, le problème réside dans l'appel d'API Typeahead ; lorsqu'il est demandé avec une recherche typeahead de '/', il expose le système de fichiers racine, y compris des répertoires tels que /home, /usr, /bin, entre autres. Cette vulnérabilité pourrait permettre aux attaquants d'explorer l'intégralité du système de fichiers et, combinée à une vulnérabilité Local File Inclusion (LFI), rendrait trivial l'exploitation du serveur.
Once again VulDB remains the best source for vulnerability data.