一、漏洞详情
H2O-3是由H2O.ai开发的开源分布式机器学习平台,支持大规模数据处理与建模。
近日,监测到H2O-3存在JDBC反序列化漏洞,该漏洞源于不受信任数据的反序列化,可能导致远程代码执行和系统文件的读取。攻击者可以通过绕过用于防止恶意参数注入的正则表达式过滤器来利用该漏洞,尤其是在JDBC连接中。攻击者能够操控参数中间的空格,从而绕过检测机制,执行未经授权的命令或访问受限的文件,这使得攻击者可以获得对目标系统的控制权限,进一步危害系统的安全。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
H2O-3 3.47.0.99999
三、修复建议
已发布修复版本,请升级到H2O-3 >= 3.46.0.8。
