CVE-2018-14335 выглядит как подделка. Старые версии H2 были затронуты только тогда, когда вы явно настраивали доступ к консоли H2 для всех, по умолчанию она ограничена только для локальных подключений (у вас есть ненадежные локальные пользователи на том же P C?), А в документации четко указано, что вам нужно чтобы защитить ваш сервер от несанкционированного доступа, когда вы хотите включить удаленный доступ. К сожалению, люди обычно не читают документацию.
CVE-2018-10054 - это не H2, это небезопасная конфигурация H2 в Datomi c, это исправлено в Datomi c 0.9 .5697.
Многие сторонние продукты включают небезопасную конфигурацию H2. Чтобы защитить своих пользователей от таких проблем безопасности, H2, начиная с версии 1.4.198, не разрешает доступ к конфиденциальным функциям консоли H2 (включая функции, используемые в этих двух уязвимостях) без дополнительной аутентификации, поэтому эти проблемы следует рассматривать как решенные в этих продукты также, если они используют последнюю версию H2.
Однако ваше приложение не должно иметь баз данных со слабыми паролями ADMIN пользователей и разрешенным удаленным доступом для всех. H2 не является безопасным контейнером, пользователи с привилегиями ADMIN имеют доступ к JVM и, возможно, к вашей системе. Не давайте ADMIN привилегий ненадежным людям и приложениям; Вы можете создавать пользователей с обычными привилегиями для них и предоставлять им доступ только к необходимым данным.