Securityorganisatie JFrog heeft een kwetsbaarheid in H2 gevonden. Het probleem is vergelijkbaar met Log4Shell, de beruchte dreiging in Log4j.

H2 consoles op servers die van buitenaf benaderbaar zijn kunnen misbruikt worden voor remote code execution (RCE). Meerdere coderegels in H2 sturen url’s naar een ‘javax.naming.Context.lookup’ function. Toegang tot een H2 console maakt het mogelijk om de function van twee parameters te voorzien: de url van een server met kwaadaardige code en een coderegel met de opdracht om de code uit te voeren.

Het probleem is vergelijkbaar met de aanvankelijke kwetsbaarheid in Log4j. De Java library maakte het mogelijk om url’s van buitenaf in te schieten en door een applicatie uit te laten voeren. De kwetsbaarheid in H2 kan daarentegen alleen misbruikt worden met directe toegang tot de server waarop de applicatie draait. De technologische oorzaak komt overeen, maar de ernst is niet te vergelijken.

JFrog deelde de kwetsbaarheid met de ontwikkelaar van H2. Inmiddels heeft de ontwikkelaar de kwetsbaarheid gepatcht.

Tip: Log4Shell – ongekende impact, harde lessen voor software-ontwikkelaars