一、 漏洞 CVE-2024-45758 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
H2O.ai 的 H2O 通过 3.46.0.4 允许攻击者任意设置JDBC URL,导致反序列化攻击、文件读取和命令执行。当攻击者能够访问并发布到 ImportSQLTable URI 的 JSON 文档,该文档包含连接_url 属性和任何典型的 JDBC 连接 URL 攻击负载(例如使用 queryInterceptors 的负载)时,可以进行利用。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
可信数据的反序列化
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
H2O.ai H2O through 3.46.0.4 allows attackers to arbitrarily set the JDBC URL, leading to deserialization attacks, file reads, and command execution. Exploitation can occur when an attacker has access to post to the ImportSQLTable URI with a JSON document containing a connection_url property with any typical JDBC Connection URL attack payload such as one that uses queryInterceptors.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
H2O 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
H2O是H2O.ai开源的一个用于分布式、可扩展机器学习的内存平台。 H2O 3.46.0.4及之前版本存在安全漏洞,该漏洞源于攻击者可以任意设置JDBC URL,这可能导致反序列化攻击、文件读取和命令执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45758 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
