| Summary | H2O.ai H2O through 3.46.0.4 allows attackers to arbitrarily set the JDBC URL, leading to deserialization attacks, file reads, and command execution. Exploitation can occur when an attacker has access to post to the ImportSQLTable URI with a JSON document containing a connection_url property with any typical JDBC Connection URL attack payload such as one that uses queryInterceptors. |
|---|---|
| Publication Date | Sept. 7, 2024, 1:15 a.m. |
| Registration Date | Sept. 7, 2024, 5 a.m. |
| Last Update | Sept. 7, 2024, 1:46 a.m. |
| Title | H2O.ai の H2O における信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| Summary | H2O.ai の H2O には、信頼できないデータのデシリアライゼーションに関する脆弱性が存在します。 |
| Possible impacts | 情報を取得される、および情報を改ざんされる可能性があります。 |
| Solution | 参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Sept. 6, 2024, midnight |
| Registration Date | Oct. 7, 2025, 5:08 p.m. |
| Last Update | Oct. 7, 2025, 5:08 p.m. |
| H2O.ai |
| H2O 3.46.0.4 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年10月07日] 掲載 |
Oct. 7, 2025, 5:08 p.m. |