安全研究
安全漏洞
H2O任意文件写入漏洞(CVE-2024-5986)
发布日期:2026-02-02
更新日期:2026-06-08
受影响系统:H2O.ai H2O 3.46.0.1
描述:
CVE(CAN) ID:
CVE-2024-5986
H2O是H2O.ai开源的一个用于分布式、可扩展机器学习的内存平台。
H2O 3.46.0.1版本存在任意文件写入漏洞,攻击者可利用该漏洞通过/3/Parse接口将可控内容写入空文件头部,再调用/3/Frames/framename/export导出接口落地写入服务器本地文件,以及可覆写SSH私钥、系统脚本等关键敏感文件。
<**>
建议:
厂商补丁:
H2O.ai
------
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://huntr.com/bounties/64ff5319-6ac3-4447-87f7-b53495d4d5a3浏览次数:88
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |