H2 发布了一个保安建议,以应对 H2 Database Console 中的一个漏洞。未通过认证的远端攻击者可以在受影响的系统执行任意程式码,从而攻击这个漏洞。
有报告指 H2 Database Console 中的一个远端执行程式码漏洞 (CVE-2021-42392) 正处于被攻击的高风险。H2 是 Maven 存储库中广泛使用的开源 Java SQL 数据库。系统管理员应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。
使用H2 Database 2.0.206 之前的版本并启用网上控制台的系统或应用程式
成功利用漏洞可以在受影响的系统中导致执行任意程式码。
H2 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:
https://h2database.com/html/download.html
除了内部和自主开发的系统/应用程式外,商业产品和开源软件/程式库也可能受到该漏洞的影响。建议应向产品供应商查询正在使用的软件产品是否受到影响以及相应修补程式或缓解措施的情况。若软件产品确认受到该漏洞的影响,系统管理员应安装修补程式或遵从产品供应商的建议以降低风险。