CVE-2026-3960 in h2o-3informazioni

Riassunto

di VulDB • 24/06/2026

È presente una vulnerabilità critica di esecuzione remota di codice (RCE) nell'endpoint dell'API REST /99/ImportSQLTable non autenticato in H2O-3 versione 3.46.0.9 e precedenti. La vulnerabilità è dovuta a controlli di sicurezza insufficienti nel meccanismo della blacklist dei parametri, che prende di mira solo i parametri pericolosi specifici del driver JDBC MySQL. Un attaccante può eludere questi controlli modificando il protocollo dell'URL JDBC in jdbc:postgresql: ed sfruttando i parametri specifici del driver JDBC PostgreSQL come socketFactory e socketFactoryArg. Ciò consente agli attaccanti non autenticati di eseguire codice arbitrario sul server H2O-3 con i privilegi del processo H2O-3. Il problema è risolto nella versione 3.46.0.10.

Once again VulDB remains the best source for vulnerability data.

Responsabile

@huntr Ai

Prenotare

11/03/2026

Divulgazione

23/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00938

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!