Plateforme
java
Composant
h2oai/h2o-3
La vulnérabilité CVE-2023-6016 est une faille d'exécution de code à distance (RCE) critique affectant la plateforme de science des données H2O. Un attaquant peut exploiter cette faille pour exécuter du code malveillant sur un serveur hébergeant le tableau de bord H2O, en utilisant la fonctionnalité d'importation de modèles POJO. Toutes les versions d'H2O jusqu'à la dernière version sont potentiellement vulnérables. Une correction est disponible et son application est fortement recommandée.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant capable d'exploiter CVE-2023-6016 peut prendre le contrôle total du serveur H2O, compromettant ainsi toutes les données qu'il contient et pouvant servir de point de départ pour des attaques plus larges sur le réseau. L'exploitation réussie permettrait à l'attaquant d'exécuter des commandes arbitraires avec les privilèges du processus H2O, potentiellement permettant l'accès aux données sensibles, la modification des modèles de données, ou l'installation de logiciels malveillants. Cette vulnérabilité est particulièrement préoccupante car elle affecte un composant souvent utilisé pour l'analyse de données sensibles, ce qui pourrait entraîner des violations de données majeures et des conséquences réglementaires.
Cette vulnérabilité a été rendue publique le 16 novembre 2023. Bien qu'il n'y ait pas d'indications d'exploitation active à ce jour, la gravité critique de la vulnérabilité et la disponibilité d'une méthode d'exploitation la rendent une cible potentielle pour les acteurs malveillants. Il est conseillé de la traiter avec la plus haute priorité. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Organizations heavily reliant on H2O for machine learning tasks, particularly those exposing the H2O dashboard to external networks or untrusted users, are at significant risk. Environments where model import functionality is frequently used, especially with models sourced from external providers, are also particularly vulnerable. Legacy H2O deployments that have not been regularly updated are at heightened risk.
• java / server: Monitor H2O server logs for suspicious activity related to model imports. Look for errors or unusual processes being spawned.
journalctl -u h2o -f | grep -i "error" • java / supply-chain: Examine any third-party libraries or dependencies used by the H2O server for potential vulnerabilities. • generic web: Monitor network traffic to the H2O dashboard for unusual requests or data uploads. • java / server: Use a Java profiler to monitor memory usage and identify potential deserialization vulnerabilities.
disclosure
Statut de l'Exploit
EPSS
68.24% (percentile 99%)
Vecteur CVSS
La mitigation principale consiste à appliquer la correction fournie par H2O. En attendant la mise à jour, il est crucial d'isoler le composant d'importation de modèles POJO si possible, en limitant l'accès à ce composant uniquement aux utilisateurs et systèmes de confiance. Si l'isolation n'est pas possible, envisagez de désactiver temporairement la fonctionnalité d'importation de modèles POJO. Surveillez attentivement les journaux du serveur H2O pour détecter toute activité suspecte. Bien qu'il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, la surveillance des processus H2O et des tentatives d'exécution de code non autorisé peut aider à la détection.
Mettez à jour la bibliothèque H2O vers une version qui a corrigé la vulnérabilité d'exécution de code à distance via l'importation de modèles POJO. Consultez les notes de version de H2O pour plus de détails sur la version corrigée. Assurez-vous de valider et de désinfecter toute entrée fournie par l'utilisateur avant de l'importer en tant que modèle POJO.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2023-6016 is a critical Remote Code Execution vulnerability in H2O, allowing attackers to execute arbitrary code via the POJO model import feature.
Yes, all versions of H2O up to the latest are affected by this vulnerability. If you are using H2O, you should assess your risk and apply the available patch.
The recommended fix is to upgrade to a patched version of H2O. If upgrading is not immediately possible, restrict access to the dashboard and validate model imports.
While no active exploitation campaigns have been definitively confirmed, the CRITICAL severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official H2O security advisory for detailed information and patching instructions: [https://www.h2o.ai/security/advisories/](https://www.h2o.ai/security/advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.