Vulnerabilidad en H3 de H3js (CVE-2026-33129)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2026
Última modificación:
20/03/2026
Descripción
H3 es un framework H(TTP) mínimo. Las versiones 2.0.1-beta.0 hasta la 2.0.0-rc.8 contienen una vulnerabilidad de canal lateral de tiempo en la función requireBasicAuth debido al uso de una comparación de cadenas insegura (!==). Esto permite a un atacante deducir la contraseña válida carácter por carácter midiendo el tiempo de respuesta del servidor, eludiendo eficazmente las protecciones de complejidad de la contraseña. Este problema está solucionado en la versión 2.0.1-rc.9.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:h3:h3:2.0.0:*:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:h3:h3:2.0.1:rc8:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página