Vulnerabilidad en la función on_req en lib/handler/redirect.c en H2O (CVE-2016-1133)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/01/2016
Última modificación:
12/04/2025
Descripción
Vulnerabilidad de inyección CRLF en la función on_req en lib/handler/redirect.c en H2O en versiones anteriores a 1.6.2 y 1.7.x en versiones anteriores a 1.7.0-beta3 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y realizar ataques de separación de respuestas HTTP a través de una URI manipulada.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dena:h2o:*:*:*:*:*:*:*:* | 1.6.1 (incluyendo) | |
| cpe:2.3:a:dena:h2o:1.7.0:beta2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://jvn.jp/en/jp/JVN45928828/index.html
- http://jvndb.jvn.jp/jvndb/JVNDB-2016-000003
- https://github.com/h2o/h2o/issues/682
- https://github.com/h2o/h2o/issues/684
- https://h2o.examp1e.net/vulnerabilities.html#CVE-2016-1133
- http://jvn.jp/en/jp/JVN45928828/index.html
- http://jvndb.jvn.jp/jvndb/JVNDB-2016-000003
- https://github.com/h2o/h2o/issues/682
- https://github.com/h2o/h2o/issues/684
- https://h2o.examp1e.net/vulnerabilities.html#CVE-2016-1133