【高危漏洞预警】h2oai/h2o-3 反序列化漏洞CVE-2025-6507

漏洞描述:

h2оаi/h2о-3是一个开源的机器学习平台,广泛用于数据科学和预测分析。该漏洞产生于版本3.47.0.99999,由于JＤBC连接中正则表达式过滤器被绕过导致未经验证的数据反序列化,攻击者可以操纵参数之间的空格来绕过检测实现未授权的文件访问和代码执行。

攻击场景:

攻击者可以通过发送恶意数据到目标系统,绕过JDBC连接中的正则表达式过滤器实现未授权的文件访问和代码执行

影响产品:

h2oai/h2o-3 < 3.46.0.8

利用条件:

攻击者需要能够发送恶意数据到目标系统

检测方法:

检查系统是否运行的是h2oai/h2o-3 3.46.0.8之前的版本,并对JDBC连接进行检查以确定是否有绕过正则表达式过滤器的行为。

修复建议:

立即升级到h2оаi/h2о－3 3.46.0.8或更高版本

补丁名称:

h2оаi h2о-3代码执行漏洞的补丁-该漏洞在版本3.46.0.8中得到修复至官网在线下载

文件链接:

https://h2o.ai/resources/download/

缓解方案:

隔离受影响系统避免处理不可信的数据输入