nvd,anchore_overrides
H3
Уязвимости
6
Эксплуатируемые
0
Критический
3
Высокий
0
Топ уязвимостей
CVE-2026-33128H3 - это минимальный вариант H (TTP). В версиях до 1.15.6 и от 2.0.0 до 2.0.1-rc.14 createEventStream уязвим для инъекций Server-Sent Events (SSE) из-за отсутствия дезинфекции новой линии в формате EventStreamMessage() и формате EventStreamComment(). Злоумышленник, который контролирует любую часть поля сообщений SSE (id, event, data или comment), может вводить произвольные события SSE подключенным клиентам. Эта проблема исправлена в версиях 1.15.6 и 2.0.1-rc.15.
CVE-2026-23527H3 - это минимальный фреймворк H (TTP), созданный для высокой производительности и портативности. До 1.15.5 существует критическая уязвимость HTTP-запроса на контрабанду. readRawBody делает строгую проверку, чувствительную к регистру заголовка для заголовка Transfer-Encoding. Он явно ищет «chunked», но, согласно RFC, этот заголовок должен быть нечувствительным к корпусу. Эта уязвимость исправлена в 1.15.5.
CVE-2026-33131H3 - это минимальный вариант H (TTP). Версии 2.0.0-0 до 2.0.1-rc.14 содержат уязвимость хедера с подделкой хедера в NodeRequestUrl (которая расширяет FastURL), которая позволяет обойти промежуточного ведома. Когда доступен event.url, event.url.hostname или event.url.url, например, в промежуточном программном обеспечении для регистрации, gurl getter создает URL-адрес из ненадежных данных, включая управляемый пользователем заголовок Host. Поскольку маршрутизатор H3 разрешает обработчик маршрута до запуска промежуточного программного обеспечения, злоумышленник может предоставить созданный заголовок Host (например, Host: localhost:3000/abchehe?), чтобы проверить промежуточный путь отказа, пока обработчик маршрута все еще соответствует, эффективно обходя промежуточный аутентификационный или авторизационный промежуточный повествование. Это влияет на любое приложение, построенное на H3 (включая Nitro/Nuxt), которое обращается к свойствам event.url в промежуточным защитным маршрутам. Проблема требует немедленного исправления, чтобы предотвратить построение FastURL.href с помощью несанитарного, контролируемого атакующим входом. Версия 2.0.1-rc.15 содержит патч для этой проблемы.
CVE-2026-33732Srvx - универсальный сервер, основанный на веб-стандартах. До версии 0.11.13 расхождение в разбивке по именам в srvx `FastURL` позволяет обойти промежуточный программный адаптер Node.js, когда необработанный HTTP-запрос использует абсолютный URI с нестандартной схемой (например, "Файл://`". Начиная с версии 0.11.13, конструктор «FastURL`» теперь переходит на родной `URL` для любой строки, не начинающейся с `/`, обеспечивая последовательное разрешение патча.
CVE-2026-33129H3 - это минимальный вариант H (TTP). Версии 2.0.1-beta.0 до 2.0.0-rc.8 содержат уязвимость Timing Side-Channel в функции обязательногоBasicAuth из-за использования небезопасного сравнения строк (!==). Это позволяет злоумышленнику вычислить действительный символ пароля по характеру, измеряя время отклика сервера, эффективно обходя защиту от сложности пароля. Эта проблема исправлена в версии 2.0.1-rc.9.
CVE-2026-33490H3 - это минимальная система H (TTP). В версиях 2.0.0-0-0-0-0-0-rc.16 метод в монтаже()` в h3 использует простую проверку `startsWith()` для определения того, подпадают ли входящие запросы под префикс пути установленного подзащитного материала. Поскольку эта проверка не проверяет границу сегмента пути (т.е. что следующий символ после основания - `/` или конец струны), промежуточный аппарат, зарегистрированный на таком креплении, как `/admin`, также будет выполняться для несвязанных маршрутов, таких как `/admin-public`, `/administrator`, `/administ. Это позволяет злоумышленнику инициировать контекстное промежутковое программное обеспечение на путях, которые оно никогда не предназначалось для покрытия, потенциально загрязняя контекст запроса с непреднамеренными флагами привилегий. Версия 2.0.2-rc.17 содержит патч.