漏洞概况

h2o-3是一个开源的分布式机器学习平台,旨在让用户轻松地基于大数据进行预测分析和模型构建。

微步情报局长期关注国内外影响较大的开源项目,对可能存在的漏洞进行持续挖掘分析。微步情报局挖掘出CVE-2025-6507 h2o-3 JDBC 注入漏洞。该漏洞绕过了之前的补丁,攻击者可利用该JDBC注入漏洞读取系统敏感数据和远程代码执行。该漏洞利用方式简单,建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

1、文件读取

2、反序列化

修复方案

官方修复方案:

官方已发布补丁修复该漏洞,请尽快前往下载更新:

https://github.com/h2oai/h2o-3/commit/f714edd6b8429c7a7211b779b6ec108a95b7382d

临时缓解措施:

  • 可配置防护策略,限制访问漏洞相关路径。完整漏洞利用路径请通过微步漏洞情报查询。

  • 如非必要,避免将资产暴露在互联网。

微步产品侧支持情况

  • 微步威胁感知平台TDP已支持检测,检测ID:S3100167661 可检出,模型/规则高于20250903000000可检出。