H2 發布了一個保安建議,以應對 H2 Database Console 中的一個漏洞。未通過認證的遠端攻擊者可以在受影響的系統執行任意程式碼,從而攻擊這個漏洞。
有報告指 H2 Database Console 中的一個遠端執行程式碼漏洞 (CVE-2021-42392) 正處於被攻擊的高風險。H2 是 Maven 存儲庫中廣泛使用的開源 Java SQL 數據庫。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
使用H2 Database 2.0.206 之前的版本並啟用網上控制台的系統或應用程式
成功利用漏洞可以在受影響的系統中導致執行任意程式碼。
H2 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
https://h2database.com/html/download.html
除了內部和自主開發的系統/應用程式外,商業產品和開源軟件/程式庫也可能受到該漏洞的影響。建議應向產品供應商查詢正在使用的軟件產品是否受到影響以及相應修補程式或緩解措施的情況。若軟件產品確認受到該漏洞的影響,系統管理員應安裝修補程式或遵從產品供應商的建議以降低風險。