Une vulnérabilité a été découverte dans la base de données H2. Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement.
Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification.
La configuration par défaut de la console H2 n’autorise pas de connexion à distance, ce service est probablement moins exposé que ceux vulnérables à log4j.
Pour l’obtention des correctifs, il faut se référer au bulletin de sécurité GHSA-h376-j262-vhq6 de H2
Source : CERT FR
