CVE-2024-5986

A vulnerability in h2oai/h2o-3 version 3.46.0.1 allows remote attackers to write arbitrary data to any file on the server. This is achieved by exploiting the `/3/Parse` endpoint to inject attacker-controlled data as the header of an empty file, which is then exported using the `/3/Frames/framename/export` endpoint. The impact of this vulnerability includes the potential for remote code execution and complete access to the system running h2o-3, as attackers can overwrite critical files such as private SSH keys or script files.

CVSS v3 9.1 CRITICAL

9.1^/10

CVSS v3 : CRITICAL

V3 Legend

Vector : AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Exploitability : 3.9 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://huntr.com/bounties/64ff5319-6ac3-4447-87f7-b53495d4d5a3

Configurations

No configuration.

History

15 Apr 2026, 14:34

Type	Values Removed	Values Added
Summary		(es) Una vulnerabilidad en h2oai/h2o-3 versión 3.46.0.1 permite a atacantes remotos escribir datos arbitrarios en cualquier archivo del servidor. Esto se logra explotando el endpoint '/3/Parse' para inyectar datos controlados por el atacante como la cabecera de un archivo vacío, que luego se exporta usando el endpoint '/3/Frames/framename/export'. El impacto de esta vulnerabilidad incluye el potencial de ejecución remota de código y acceso completo al sistema que ejecuta h2o-3, ya que los atacantes pueden sobrescribir archivos críticos como claves SSH privadas o archivos de script.

02 Feb 2026, 11:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-02 11:16

Updated : 2026-04-15 14:34

NVD link : CVE-2024-5986

Mitre link : CVE-2024-5986

CVE.ORG link : CVE-2024-5986

JSON object : View

Products Affected

No product.

CWE

CWE-73

External Control of File Name or Path

9.1 /10