HIGHCVE-2024-5979CVSS 7.5

h2o は予期せぬ POST リクエストによりサーバーが停止する脆弱性

Q: CVE-2024-5979 in h2oai/h2o-3を修正するにはどうすればよいですか？

h2oai/h2o-3をバージョン3.46.0.6以上にアップデートしてください。アップデートが困難な場合は、`run_tool`コマンドの使用を制限するか、入力値の検証を厳格化してください。

プラットフォーム

python

コンポーネント

h2o

修正版

3.46.0.6

3.46.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-5979は、h2oai/h2o-3のrapidsコンポーネントにおけるサービス拒否（DoS）脆弱性です。この脆弱性は、run_toolコマンドを悪用することで、MojoConvertToolクラスのmain関数に不正な引数を渡し、サーバーをクラッシュさせる可能性があります。影響を受けるバージョンは3.46.0以前であり、3.46.0.6で修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はrun_toolコマンドを通じてMojoConvertToolを呼び出し、不正な引数を渡すことでh2oサーバーをダウンさせることができます。これにより、h2oを利用したデータ分析や機械学習の処理が停止し、ビジネスへの影響が考えられます。特に、h2oを重要な基幹システムに組み込んでいる場合、サービス停止による損害は大きくなる可能性があります。攻撃者は、この脆弱性を利用して、機密データへのアクセスを妨害したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。

悪用の状況

CVE-2024-5979は、2024年6月27日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISAのKEVリストへの登録状況は不明です。NVDデータベースには詳細な情報が記載されています。

リスク対象者翻訳中…

Organizations deploying h2o-3 for machine learning tasks, particularly those using versions 3.46.0 and earlier, are at risk. This includes data science teams, machine learning engineers, and any applications that rely on h2o-3 for model training or prediction. Shared hosting environments where h2o-3 is installed could also be vulnerable if the underlying infrastructure is not properly secured.

検出手順翻訳中…

• python / library: Inspect installed h2o-3 versions using pip show h2o. If the version is ≤3.46.0, the system is vulnerable. • python / library: Use import h2o; print(h2o.version) to programmatically check the version. • generic web: Monitor server logs for errors related to MojoConvertTool or the run_tool command, which may indicate an attempted exploit.

攻撃タイムライン

2024-06-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.12% (31% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントh2o

ベンダーosv

影響範囲修正版

unspecified – 3.46.0.63.46.0.6

3.46.03.46.1

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-06-13
公開日2024-06-27
更新日2025-10-16
EPSS 更新日2026-04-02

公開後128日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まず、h2oai/h2o-3を3.46.0.6以上にアップデートすることを推奨します。アップデートが困難な場合は、run_toolコマンドの使用を一時的に制限する、または入力値の検証を厳格化するなどの回避策を検討してください。また、WAF（Web Application Firewall）を導入し、不正な引数を含むリクエストをブロックすることも有効です。h2oのログを監視し、異常なアクセスパターンを検知することも重要です。

修正方法翻訳中…

Actualice la biblioteca h2oai/h2o-3 a la versión 3.46.0.6 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo incorrecto de argumentos en la herramienta MojoConvertTool. La actualización previene que un atacante pueda causar una caída del servidor mediante el envío de argumentos inválidos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-5979 — DoS in h2oai/h2o-3とは何ですか？

CVE-2024-5979は、h2oai/h2o-3の3.46.0以前のバージョンにおけるサービス拒否（DoS）脆弱性です。run_toolコマンドの脆弱性を悪用し、不正な引数でサーバーをクラッシュさせることが可能です。

CVE-2024-5979 in h2oai/h2o-3の影響は受けますか？

h2oai/h2o-3のバージョンが3.46.0以前の場合は、影響を受けます。速やかに3.46.0.6以上にアップデートしてください。

CVE-2024-5979 in h2oai/h2o-3を修正するにはどうすればよいですか？

h2oai/h2o-3をバージョン3.46.0.6以上にアップデートしてください。アップデートが困難な場合は、run_toolコマンドの使用を制限するか、入力値の検証を厳格化してください。

CVE-2024-5979は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

CVE-2024-5979に関するh2oaiの公式アドバイザリはどこで入手できますか？

h2oaiの公式アドバイザリは、NVDデータベースまたはh2oaiのセキュリティ情報ページで確認できます。