阅读： 14

1. 漏洞概述

近日，绿盟科技CERT监测到H2O-3发布安全更新，修复了H2O-3 JDBC反序列化漏洞（CVE-2025-6507）；此漏洞为CVE-2024-45758和CVE-2024-10553的绕过，由于系统的JDBC连接处理逻辑中存在反序列化缺陷，未经身份验证的攻击者可通过操纵参数之间的空格绕过现有的正则表达式过滤，从而实现任意文件读取和远程代码执行。CVSS评分9.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

H2O-3是一个开源、分布式、可扩展的机器学习平台，用于在大数据上快速构建和部署机器学习模型。

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2025-6507

1. 影响范围

受影响版本

• H2O-3 <= 3.46.0.7
• H2O-3 <= 3.47.0.99999

不受影响版本

• H2O-3 >= 3.46.0.8

1. 漏洞防护
   • 官方升级

目前官方已发布新版本修复此漏洞，请受影响的用户尽快升级防护，下载链接：

https://github.com/h2oai/h2o-3/commit/f714edd6b8429c7a7211b779b6ec108a95b7382d

• 临时防护措施

若相关用户暂时无法进行升级操作，在不影响业务的情况下，可对H2O-3端口 (默认54321) 进行访问限制。

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。