首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】H2O-3 JDBC 参数绕过引发反序列化 RCE(CVE-2025-6544)

发布时间 2025-09-23

一、漏洞概述


漏洞名称

H2O-3 JDBC 参数绕过引发反序列化 RCE

CVE   ID

CVE-2025-6544

漏洞类型

反序列化

发现时间

2025-09-23

漏洞评分

9.8

漏洞等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

已公开

在野利用

未发现


H2O-3是由H2O.ai开发的开源分布式机器学习平台,支持大规模数据处理与建模。它提供了广泛的算法,包括分类,回归,聚类,异常检测和深度学习,能够在大数据环境下高效运行。H2O-3支持多种编程接口,如python,R,Scala和JAVA,同时与Spark,Hadoop等生态系统兼容,方便集成到企业的数据分析流程中,其设计目标是为数据科学家和开发者提供高性能,易扩展且易于部署的机器学习解决方案。


2025年9月23日,启明星辰集团VSRC监测到h2oai/h2o-3中的一处严重漏洞。攻击者可通过构造特殊的JDBC connection_url(对键名双重URL编码并插入空格等技巧)绕过参数匹配与补丁校验,注入可控的JDBC参数,与伪造的MySQL服务交互后实现任意系统文件读取;进一步结合可触发的反序列化链,则可导致远程代码执行。漏洞评分9.8,漏洞级别严重。


二、影响范围


h2oai/h2o-3 <= 3.46.0.8


三、安全措施


3.1 升级版本


已发布修复版本,请升级到H2O-3 >= 3.46.0.8。


下载链接:https://github.com/h2oai/h2o-3/tags/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://nvd.nist.gov/vuln/detail/CVE-2025-6544/
https://huntr.com/bounties/53f35a0f-d644-4f82-93aa-89fe7e0aed40
上一篇 下一篇