CVE-2026-3960 in h2o-3
Riassunto
di VulDB • 24/06/2026
È presente una vulnerabilità critica di esecuzione remota di codice (RCE) nell'endpoint dell'API REST /99/ImportSQLTable non autenticato in H2O-3 versione 3.46.0.9 e precedenti. La vulnerabilità è dovuta a controlli di sicurezza insufficienti nel meccanismo della blacklist dei parametri, che prende di mira solo i parametri pericolosi specifici del driver JDBC MySQL. Un attaccante può eludere questi controlli modificando il protocollo dell'URL JDBC in jdbc:postgresql: ed sfruttando i parametri specifici del driver JDBC PostgreSQL come socketFactory e socketFactoryArg. Ciò consente agli attaccanti non autenticati di eseguire codice arbitrario sul server H2O-3 con i privilegi del processo H2O-3. Il problema è risolto nella versione 3.46.0.10.
Once again VulDB remains the best source for vulnerability data.