Plataforma
python
Componente
h2o
Corregido en
3.46.0.6
3.46.1
El CVE-2024-5979 describe una vulnerabilidad de Denegación de Servicio (DoS) presente en h2o-3, una plataforma de aprendizaje automático de código abierto. Esta vulnerabilidad permite a un atacante causar un fallo del servidor al proporcionar un argumento inválido a la herramienta MojoConvertTool dentro del componente rapids. La vulnerabilidad afecta a versiones de h2o-3 hasta la 3.46.0, y se recomienda actualizar a la versión 3.46.0.6 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad enviando un argumento inválido a la función main de la clase MojoConvertTool. Esto provoca un fallo en el servidor h2o-3, interrumpiendo los servicios de aprendizaje automático y potencialmente causando una pérdida de disponibilidad. El impacto es significativo, ya que impide el funcionamiento normal de la plataforma, afectando a las aplicaciones que dependen de ella. La interrupción puede tener consecuencias financieras y operativas, especialmente en entornos de producción donde h2o-3 se utiliza para tareas críticas de análisis de datos y modelado predictivo. No se ha reportado explotación activa, pero la facilidad de la explotación podría cambiar esto.
El CVE-2024-5979 fue publicado el 27 de junio de 2024. Actualmente, no se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de interactuar directamente con el comando run_tool. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la descripción de la vulnerabilidad sugiere que la explotación es relativamente sencilla. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Organizations deploying h2o-3 for machine learning tasks, particularly those using versions 3.46.0 and earlier, are at risk. This includes data science teams, machine learning engineers, and any applications that rely on h2o-3 for model training or prediction. Shared hosting environments where h2o-3 is installed could also be vulnerable if the underlying infrastructure is not properly secured.
• python / library: Inspect installed h2o-3 versions using pip show h2o. If the version is ≤3.46.0, the system is vulnerable.
• python / library: Use import h2o; print(h2o.version) to programmatically check the version.
• generic web: Monitor server logs for errors related to MojoConvertTool or the run_tool command, which may indicate an attempted exploit.
disclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2024-5979 es actualizar la instalación de h2o-3 a la versión 3.46.0.6 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al comando run_tool y monitorear los registros del servidor en busca de patrones de comportamiento anómalos. Además, se puede considerar la implementación de un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas. Después de la actualización, confirmar la mitigación ejecutando MojoConvertTool con diferentes entradas para verificar que el servidor no se bloquee.
Actualice la biblioteca h2oai/h2o-3 a la versión 3.46.0.6 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo incorrecto de argumentos en la herramienta MojoConvertTool. La actualización previene que un atacante pueda causar una caída del servidor mediante el envío de argumentos inválidos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5979 is a denial-of-service vulnerability in h2o-3 versions up to 3.46.0. An attacker can crash the server by exploiting the MojoConvertTool, leading to service disruption.
You are affected if you are using h2o-3 version 3.46.0 or earlier. Check your installed version using pip show h2o.
Upgrade to version 3.46.0.6 or later. If immediate upgrade isn't possible, implement input validation on the run_tool command.
There is currently no indication of active exploitation in the wild, but a PoC could be developed easily.
Refer to the h2o.ai security advisories page for the latest information: https://www.h2o.ai/security/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.