一、漏洞详情
H2O-3是由H2O.ai开发的开源分布式机器学习平台,支持大规模数据处理与建模。
近日,监测到h2oai/h2o-3中的一处严重漏洞。攻击者可通过构造特殊的JDBC connection_url绕过参数匹配与补丁校验,注入可控的JDBC参数,与伪造的MySQL服务交互后实现任意系统文件读取;进一步结合可触发的反序列化链,则可导致远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
h2oai/h2o-3 <= 3.46.0.8
三、修复建议
已发布修复版本,请升级到H2O-3 >= 3.46.0.8。
Designed by