H2O-3 PostgreSQL Driver RCE (CVE-2026-3960) 漏洞概述 CVE编号: CVE-2026-3960 严重程度: 高危 (CVSS 9.4) 影响版本: H2O-3 3.46.0.9 及更早版本 漏洞类型: 代码注入 (Code Injection) 攻击向量: 网络,无需认证 修复版本: 3.46.0.10 技术细节: H2O-3 的 REST API 存在远程代码执行漏洞。该 API 的安全机制仅针对 MySQL JDBC 驱动的危险参数进行黑名单过滤,未考虑其他数据库驱动。攻击者可通过将 JDBC URL 协议从 切换为 ,利用 PostgreSQL JDBC 驱动特有的危险参数(如 和 )绕过防护,实现未授权远程代码执行。 影响范围 远程代码执行 (RCE): 攻击者可在 H2O-3 进程权限下执行任意代码 系统入侵: 可执行系统命令、安装后门、横向移动、提权、禁用安全监控 数据泄露: 可窃取客户数据、财务记录、医疗信息、机器学习模型、训练数据、数据库凭证 服务中断: 可导致拒绝服务、勒索软件加密、资源劫持挖矿、数据损坏 修复方案 升级版本: 升级到 H2O-3 3.46.0.10 或更高版本 临时缓解: 限制 API 的访问权限,仅允许受信任来源访问 概念验证 (POC) 步骤1: 下载 H2O-3 步骤2: 下载 PostgreSQL JDBC 驱动 步骤3: 下载 Spring Framework 依赖 步骤4: 创建恶意 XML 配置文件 创建名为 的文件,内容如下: 步骤5: 托管恶意 XML 文件 启动 H2O-3 应用 发送恶意请求