一、漏洞详情

H2O-3是由H2O.ai开发的开源分布式机器学习平台，支持大规模数据处理与建模。

近日，监测到h2oai/h2o-3中的一处严重漏洞。攻击者可通过构造特殊的JDBC connection_url绕过参数匹配与补丁校验，注入可控的JDBC参数，与伪造的MySQL服务交互后实现任意系统文件读取；进一步结合可触发的反序列化链，则可导致远程代码执行。

建议校园网用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

h2oai/h2o-3 <= 3.46.0.8

三、修复建议

已发布修复版本，请升级到H2O-3 >= 3.46.0.8