H2O 忽略标头配置指令(CVE-2024-25622)
CVE编号
CVE-2024-25622利用情况
暂无补丁情况
N/A披露时间
2024-10-11漏洞描述
H2O是一个支持HTTP/1.x、HTTP/2和HTTP/3协议的HTTP服务器。其头部处理器提供的配置指令允许用户修改由H2O发送的响应头部。H2O的配置文件包含多个作用域,内部作用域(例如路径级别)预期会继承外部作用域(例如全局级别)中定义的配置。然而,如果在内部作用域中使用头部指令,外部作用域中的所有定义都会被忽略。这可能导致头部无法按预期进行修改。由于意外地添加或删除头部,这种行为可能导致客户端出现意外行为。该漏洞已在提交123f5e2b65dcdba8f7ef659a00d24bd1249141be中得到修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/h2o/h2o/commit/123f5e2b65dcdba8f7ef659a00d24bd1249141be | |
| https://github.com/h2o/h2o/issues/3332 | |
| https://github.com/h2o/h2o/security/advisories/GHSA-5m7v-cj65-h6pj |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论