CVE-2025-5662

EPSS 0.8%
Veröffentlicht 02.09.2025 11:14:52
Zuletzt bearbeitet 02.09.2025 15:55:25
Quelle security@huntr.dev
Teams Watchlist Login
Unerledigt Login

A deserialization vulnerability exists in the H2O-3 REST API (POST /99/ImportSQLTable) that affects all versions up to 3.46.0.7. This vulnerability allows remote code execution (RCE) due to improper validation of JDBC connection parameters when using a Key-Value format. The vulnerability is present in the MySQL JDBC Driver version 8.0.19 and JDK version 8u112. The issue is resolved in version 3.46.0.8.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 5

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

Herstellerh2oai

≫

Produkt h2oai/h2o-3

Version < 3.46.0.8

Version unspecified

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.8%	0.732

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
security@huntr.dev	9.8	3.9	5.9	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-502 Deserialization of Untrusted Data

The product deserializes untrusted data without sufficiently ensuring that the resulting data will be valid.

https://github.com/h2oai/h2o-3/commit/f714edd6b8429c7a7211b779b6ec108a95b7382d

https://huntr.com/bounties/057a743b-b2ec-4312-8262-ce0ff8bc161c

https://nvd.nist.gov/vuln/detail/CVE-2025-5662

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-5662

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-5662

EUVD