H2O-3 JDBC反序列化漏洞(CVE-2025-6507)
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
绿盟科技CERT监测到H2O-3发布安全更新,修复了JDBC反序列化漏洞(CVE-2025-6507),该漏洞可能导致未经身份验证的攻击者进行任意文件读取和远程代码执行。受影响版本为H2O-3 <= 3.46.0.7和H2O-3 <= 3.47.0.99999,用户应尽快升级。
🎯
关键要点
- 绿盟科技CERT监测到H2O-3发布安全更新,修复了JDBC反序列化漏洞(CVE-2025-6507)。
- 该漏洞可能导致未经身份验证的攻击者进行任意文件读取和远程代码执行。
- 受影响版本为H2O-3 <= 3.46.0.7和H2O-3 <= 3.47.0.99999,用户应尽快升级。
- H2O-3是一个开源、分布式、可扩展的机器学习平台。
- CVSS评分为9.8,漏洞细节与PoC已公开。
- 官方已发布新版本修复此漏洞,受影响用户应尽快升级。
- 临时防护措施包括对H2O-3端口进行访问限制。
- 绿盟科技不对安全公告的内容提供任何保证或承诺,使用者需自行承担后果。
- 未经绿盟科技允许,不得修改或用于商业目的。
➡️
