Platform
python
Component
h2o
Opgelost in
3.46.0.6
3.46.1
CVE-2024-5979 is een denial-of-service (DoS) kwetsbaarheid die is ontdekt in h2o-3, een open-source machine learning platform. Deze kwetsbaarheid stelt een aanvaller in staat om de server te laten crashen door een ongeldige parameter naar de MojoConvertTool te sturen. De kwetsbaarheid treft versies van h2o-3 tot en met 3.46.0. Een patch is beschikbaar in versie 3.46.0.6.
Een succesvolle exploitatie van CVE-2024-5979 kan leiden tot een denial-of-service, waarbij de h2o-3 server onbeschikbaar wordt voor legitieme gebruikers. Dit kan de beschikbaarheid van machine learning modellen en bijbehorende services negatief beïnvloeden. De impact is vooral groot in omgevingen waar h2o-3 cruciaal is voor de bedrijfsvoering. Omdat de kwetsbaarheid in de run_tool command zit, kan een aanvaller mogelijk toegang krijgen tot deze functionaliteit via een onbeveiligde interface, waardoor de exploitatie relatief eenvoudig kan zijn. De kwetsbaarheid lijkt te profiteren van een onvoldoende validatie van input parameters, wat een veelvoorkomend patroon is bij DoS aanvallen.
CVE-2024-5979 werd publiekelijk bekendgemaakt op 27 juni 2024. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid suggereert dat exploitatie relatief eenvoudig kan zijn. De KEV status is momenteel onbekend. De kwetsbaarheid is van het type denial-of-service, wat de urgentie van mitigatie verhoogt, aangezien het de beschikbaarheid van de service direct kan beïnvloeden.
Organizations deploying h2o-3 for machine learning tasks, particularly those using versions 3.46.0 and earlier, are at risk. This includes data science teams, machine learning engineers, and any applications that rely on h2o-3 for model training or prediction. Shared hosting environments where h2o-3 is installed could also be vulnerable if the underlying infrastructure is not properly secured.
• python / library: Inspect installed h2o-3 versions using pip show h2o. If the version is ≤3.46.0, the system is vulnerable.
• python / library: Use import h2o; print(h2o.version) to programmatically check the version.
• generic web: Monitor server logs for errors related to MojoConvertTool or the run_tool command, which may indicate an attempted exploit.
disclosure
Exploit Status
EPSS
0.12% (31% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-5979 is het upgraden naar versie 3.46.0.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om verdachte verzoeken naar de runtool endpoint te blokkeren. Controleer de configuratie van h2o-3 om er zeker van te zijn dat er geen onnodige toegang tot de runtool functionaliteit wordt geboden. Monitor de h2o-3 server logs op ongebruikelijke patronen of foutmeldingen die kunnen wijzen op een poging tot exploitatie. Na de upgrade, verifieer de functionaliteit van de server door een aantal tests uit te voeren, inclusief het testen van de MojoConvertTool met valide en ongeldige parameters.
Actualice la biblioteca h2oai/h2o-3 a la versión 3.46.0.6 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo incorrecto de argumentos en la herramienta MojoConvertTool. La actualización previene que un atacante pueda causar una caída del servidor mediante el envío de argumentos inválidos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-5979 is a denial-of-service vulnerability in h2o-3 versions up to 3.46.0. An attacker can crash the server by exploiting the MojoConvertTool, leading to service disruption.
You are affected if you are using h2o-3 version 3.46.0 or earlier. Check your installed version using pip show h2o.
Upgrade to version 3.46.0.6 or later. If immediate upgrade isn't possible, implement input validation on the run_tool command.
There is currently no indication of active exploitation in the wild, but a PoC could be developed easily.
Refer to the h2o.ai security advisories page for the latest information: https://www.h2o.ai/security/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.