CVE-2025-6507（CVSS 9.8）：H2O-3严重漏洞威胁机器学习安全

漏洞概述

H2O-3作为一款广泛使用的开源分布式可扩展机器学习平台，近日被发现存在一个高危漏洞，攻击者可借此实现远程代码执行（RCE，Remote Code Execution）和未授权文件访问。该漏洞编号为CVE-2025-6507，CVSS评分为9.8（高危级），影响版本3.47.0.99999，目前已在3.46.0.8版本中修复。

技术成因

漏洞源于JDBC连接处理逻辑中对不可信数据的不安全反序列化操作。虽然H2O尝试通过正则表达式过滤恶意参数，但研究人员发现攻击者只需在参数间插入空格即可绕过这些过滤措施。

正如CVE描述所述："攻击者可通过操纵参数间的空格来规避检测，从而实现未授权文件访问和代码执行"。这一疏漏使得攻击者能够在导入SQL表时利用water.jdbc.SQLManager#getConnectionSafe方法实施攻击。

攻击场景演示

研究人员展示了两种具体攻击方式：

1. 任意文件读取
   通过参数绕过技术，攻击者可以使用特制的JDBC URL读取系统敏感文件：

POST /99/ImportSQLTable Host: 127.0.0.1:54321 connection_url=jdbc:mysql://127.0.0.1:3308/test?+allowLoadLocalInfile=true&+allowUrlInLocalInfile=true

该方法绕过正则检查并滥用MySQL驱动功能加载本地文件。

1. 任意反序列化与远程代码执行
   攻击者可启用危险的JDBC特性（如autoDeserialize=true）并与已知工具链（如Commons-Collections）结合实现RCE：

POST /99/ImportSQLTable Host: 127.0.0.1:54321 connection_url=jdbc:mysql://127.0.0.1:3308/test?+autoDeserialize=true&+queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor

研究人员通过DNSlog验证链成功捕获了反序列化过程中触发的出站连接，证实了漏洞的可利用性。

风险影响

该漏洞对所有H2O-3用户构成严重威胁，特别是在企业环境中——该平台通常与Hadoop、Spark及大规模机器学习工作流集成。成功利用漏洞可能导致：

• 读取系统敏感文件
• 以应用级权限执行任意操作系统命令
• 破坏机器学习管道的机密性和完整性

修复建议

H2O.ai已发布3.46.0.8版本修复该漏洞。建议受影响版本用户立即升级。