Vulnerabilidad en H3 de H3js (CVE-2026-33131)

H3 es un framework H(TTP) mínimo. Las versiones 2.0.0-0 hasta 2.0.1-rc.14 contienen una vulnerabilidad de suplantación de encabezado Host en NodeRequestUrl (que extiende FastURL) que permite el bypass de middleware. Cuando se accede a event.url, event.url.hostname, o event.url._url, como en un middleware de registro, el gestor de acceso _url construye una URL a partir de datos no confiables, incluyendo el encabezado Host controlado por el usuario. Debido a que el router de H3 resuelve el gestor de ruta antes de que se ejecute el middleware, un atacante puede proporcionar un encabezado Host manipulado (p. ej., Host: localhost:3000/abchehe?) para hacer que la verificación de ruta del middleware falle mientras el gestor de ruta aún coincide, eludiendo efectivamente el middleware de autenticación o autorización. Esto afecta a cualquier aplicación construida sobre H3 (incluyendo Nitro/Nuxt) que acceda a las propiedades de event.url en middleware que protege rutas sensibles. El problema requiere una solución inmediata para evitar que FastURL.href se construya con entrada no saneada y controlada por el atacante. La versión 2.0.1-rc.15 contiene un parche para este problema.