Vulnerabilidad en h3 de h3js (CVE-2026-33490)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/03/2026
Última modificación:
31/03/2026
Descripción
H3 es un framework H(TTP) mínimo. En las versiones 2.0.0-0 hasta la 2.0.1-rc.16, el método 'mount()' en h3 usa una simple verificación 'startsWith()' para determinar si las solicitudes entrantes caen bajo el prefijo de ruta de una subaplicación montada. Debido a que esta verificación no verifica un límite de segmento de ruta (es decir, que el siguiente carácter después de la base es '/' o el final de la cadena), el middleware registrado en un montaje como '/admin' también se ejecutará para rutas no relacionadas como '/admin-public', '/administrator' o '/adminstuff'. Esto permite a un atacante activar middleware de configuración de contexto en rutas que nunca se pretendió cubrir, potencialmente contaminando el contexto de la solicitud con indicadores de privilegio no deseados. La versión 2.0.2-rc.17 contiene un parche.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:h3:h3:2.0.1:rc1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc10:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc11:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc12:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc13:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc14:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc15:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc16:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc8:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página