腾讯云安全运营中心监测到,H2官方发布安全通告,披露了H2database console存在远程代码执行漏洞,漏洞编号CVE-2021-42392。可导致远程代码执行等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
去年底爆发的Apache Log4j漏洞,让全球安全和数据库管理员至今仍忙得不可开交,安全厂商JFrog最近发现常用数据库H2,也有类似Log4Shell的远端程序执行(RCE)漏洞,呼吁用户立即升级到最新的2.0.206版本。 这家安全厂商去年12月在H2数据库控制台(console)发现到的漏洞(编号CVE-2021-42392),和Log4Shell(JNDI remote class...
由于该漏洞直接影响H2控制台服务器,有明确影响范围,所以并不像Apache Log4j Shell影响广泛,但由于H2被许多第三方框架使用,且成功利用后造成的影响严重,建议受影响用户尽快更新安全补丁。 1.3 漏洞复现 从官网下载受影响版本组件,启动环境,发送带恶意命令的URI: 2.影...
由于该漏洞直接影响H2控制台服务器,有明确影响范围,所以并不像Apache Log4jShell影响广泛,但由于H2被许多第三方框架使用,且成功利用后造成的影响严重,建议受影响用户尽快更新安全补丁。 漏洞复现 从官网下载受影响版本组件,启动环境,发送带恶意命令的URI: 影响范围 1.1.100<= H2 Console <= 2.0.204 漏洞等级:高危 ...
如何检测自己是否受到CVE-2021-42392漏洞的影响?网络管理员可以用nmap扫描他们的本地子网,查看H2控制台的开放实例,例如:nmap -sV --script http-title --script-args "http-title.url=/" -p80,443,8000-9000 192.168.0.0/8 | grep "H2 Console"(在vanilla安装中,默认的控制台端点是"/";对于通过第...
H2数据库被爆类log4j漏洞 研究人员在H2 Database Console中发现一个类似log4j的安全漏洞。 H2是一个Java编写的关系型数据库,它可以被嵌入Java应用程序中使用,或者作为一个单独的数据库服务器运行。JFrog安全研究人员在H2 数据库中发现一个基于JNDI的漏洞,CVE编号为CVE-2021-42392。该漏洞是一个,该漏洞的根本原因与...
在H2Database Console中,研究 人员 发现了类似log4j的安全漏洞。 H2是Java 编写的关系数据库,可以嵌入 Java 应用程序,也可以 作为 单独的数据库服务器 运行。JFrog安全 研究 人员在H2 数据库中发现了一个 基于JNDI的漏洞,CVE编号为CVE-2021-42392。这个 漏洞是一个,根本原因 类似于ApacheLog4j。
如何检测自己是否受到CVE-2021-42392漏洞的影响? 网络管理员可以用nmap扫描他们的本地子网,查看H2控制台的开放实例,例如: nmap -sV --script http-title --script-args "http-title.url=/" -p80,443,8000-9000 192.168.0.0/8 | grep "H2 Console" ...
2、漏洞环境 Spring Boot + H2 spring.h2.console.enabled=true JDK < 6u201、7u191、8u182、11.0.1(LDAP)3、漏洞复现 下载Spring Boot + H2的测试代码,地址为:https://github.com/felix1982/spring-boot-practice/tree/master/spring-boot-h2,依赖中已经包含spring boot+h2。在resources/db/application...
1、漏洞描述 近日,百度云安全团队监测到互联网上爆出了Spring Boot + H2 JNDI注入漏洞详情,如果用户的Spring Boot项目中包含h2database库,并且在配置文件中启用了h2-console,则可能受到漏洞影响,攻击者在不需要任何权限的情况下即可在受影响服务器上执行任意命令。