Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • H2 Console versions antérieures à 2.0.206

Résumé

Une vulnérabilité a été découverte dans la base de données H2. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Cette vulnérabilité est similaire à la vulnérabilité Log4Shell décrite dans l'alerte CERTFR-2021-ALE-022 publiée par le CERT-FR.
La configuration par défaut de la console H2 n'autorise pas de connexion à distance, ce service est probablement moins exposé que ceux vulnérables à log4j.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation