CVE-2021-42392 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:H2数据库 `getConnection` 方法存在代码缺陷。 💥 **后果**:攻击者可利用 **JNDI注入** 实现 **远程代码执行 (RCE)**,直接控制服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-502 (反序列化/不可信数据反序列化)。 📍 **缺陷点**:驱动类名和数据库URL参数未做严格校验,允许传入恶意JNDI引用。
Q3影响谁?(版本/组件)
📦 **组件**:H2 Database (Java编写的嵌入式RDBMS)。 📅 **版本**:2.0.206 之前的版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得 **最高权限 (RCE)**。 📂 **数据**:可任意读取、篡改数据库内容,甚至横向移动控制内网。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:低。 🔑 **认证**:通常无需认证或仅需基础连接权限。 ⚙️ **配置**:利用TCP服务(默认9092)或Web Console即可触发。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:有现成PoC。 🔗 **来源**:GitHub上有检测脚本 (CyberSecurityWorks) 和针对TCP服务的Exploit Lab (Be-Innova)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:扫描H2 Console页面或TCP端口(9092)。 🛠️ **工具**:使用 `h2-detect.py` 脚本批量检测IP列表,识别未授权访问。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已修复。 ✅ **方案**:升级至 **H2 Database 2.0.206** 或更高版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法升级,需严格限制H2 TCP/Web服务的网络访问。 🚫 **措施**:禁止公网访问,仅允许可信IP连接,或禁用JNDI查找功能。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 ⏳ **建议**:类似Log4j2,影响范围广,建议立即排查并升级,避免被自动化攻击利用。