漏洞信息
# N/A
## 概述
H2 Console在2.1.210版本之前存在一个漏洞,允许远程攻击者通过特殊的jdbc:h2:mem JDBC URL执行任意代码。
## 影响版本
- H2 Console 2.1.210之前的所有版本
## 细节
攻击者可以通过构造一个包含特定参数的JDBC URL来利用该漏洞,这些参数包括`IGNORE未知设置=TRUE`、`FORBID_CREATION=FALSE`和`INIT=RUNSCRIPT`。这些参数的组合使攻击者能够在数据库中执行任意代码。
## 影响
此漏洞允许远程攻击者在未授权的情况下执行任意代码,可能导致数据泄露、系统损坏等严重安全问题。此漏洞与CVE-2021-42392是不同的漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
H2 Console before 2.1.210 allows remote attackers to execute arbitrary code via a jdbc:h2:mem JDBC URL containing the IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT substring, a different vulnerability than CVE-2021-42392.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
H2Console 参数注入漏洞
漏洞描述信息
H2Console是一个用 Java 编写的可嵌入 RDBMS。 H2Console 2.1.210之前版本存在参数注入漏洞,攻击者可利用该漏洞通过精心构建的命令在系统上执行任意代码。
CVSS信息
N/A
漏洞类别
授权问题