Kritische RCE-Lücke in H2O.ai H2O-3 (CVE-2024-5986)
⚠️ CVE-Referenzen:
CVE-2024-5986
Zusammenfassung
Eine Schwachstelle in H2O.ai's H2O-3 Version 3.46.0.1 ermöglicht Remote-Angreifern das Ausführen von beliebigem Code. Über den '/3/Parse'-Endpunkt können Schurken Dateien auf dem Server überschreiben, was zu Fernsteuerung und unberechtigtem Zugriff auf sensible Systemdateien wie SSH-Schlüssel und Skripte führen kann. Mal wieder ein Totalausfall der Sicherheitsabteilung.
H2oai - H2oai/h2o-3 - CRITICAL - CVE-2024-5986.
A vulnerability in H2O.ai's H2O-3 version 3.46.0.1 allows remote attackers to exploit the '/3/Parse' endpoint and inject malicious data into file headers. This allows attackers to overwrite any file on the server, potentially leading to remote code execution and unauthorized access to critical system files, such as SSH keys and scripts, severely compromising system integrity.
Quelle: securityvulnerability.io