安全研究

安全漏洞
H2O任意文件写入漏洞(CVE-2024-5986)

发布日期:2026-02-02
更新日期:2026-06-08

受影响系统:
H2O.ai H2O 3.46.0.1
描述:
CVE(CAN) ID: CVE-2024-5986

H2O是H2O.ai开源的一个用于分布式、可扩展机器学习的内存平台。
H2O 3.46.0.1版本存在任意文件写入漏洞,攻击者可利用该漏洞通过/3/Parse接口将可控内容写入空文件头部,再调用/3/Frames/framename/export导出接口落地写入服务器本地文件,以及可覆写SSH私钥、系统脚本等关键敏感文件。

<**>

建议:
厂商补丁:

H2O.ai
------
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://huntr.com/bounties/64ff5319-6ac3-4447-87f7-b53495d4d5a3

浏览次数:88
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障