Vulnerabilidad en H3 de H3js (CVE-2026-33128)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-93
Neutralización incorrecta de secuencias de retornos de carro y saltos de linea (CRLF)
Fecha de publicación:
20/03/2026
Última modificación:
20/03/2026
Descripción
H3 es un framework H(TTP) mínimo. En versiones anteriores a la 1.15.6 y entre la 2.0.0 y la 2.0.1-rc.14, createEventStream es vulnerable a la inyección de Eventos Enviados por el Servidor (SSE) debido a la falta de saneamiento de nueva línea en formatEventStreamMessage() y formatEventStreamComment(). Un atacante que controla cualquier parte de un campo de mensaje SSE (id, evento, datos o comentario) puede inyectar eventos SSE arbitrarios a los clientes conectados. Este problema está solucionado en las versiones 1.15.6 y 2.0.1-rc.15.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:h3:h3:*:*:*:*:*:node.js:*:* | 1.15.6 (excluyendo) | |
| cpe:2.3:a:h3:h3:2.0.0:*:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc10:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc11:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc12:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc13:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc14:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc8:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc9:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página