CVE-2026-33131 in h3js
요약
\~에 의해 VulDB • 2026. 06. 01.
H3는 경량 H(TTP) 프레임워크입니다. 버전 2.0.0-0부터 2.0.1-rc.14까지에는 NodeRequestUrl(FastURL을 상속받음)에서 Host 헤더 스푸핑 취약점이 존재하며, 이로 인해 미들웨어 우회가 가능합니다. 로깅 미들웨어 등에서 event.url, event.url.hostname 또는 event.url._url에 접근할 때, _url getter는 사용자 제어 가능한 Host 헤더를 포함한 신뢰할 수 없는 데이터로부터 URL을 구성합니다. H3의 라우터는 미들웨어 실행 전에 라우트 핸들러를 해결하므로, 공격자가 Host: localhost:3000/abchehe?와 같이 조작된 Host 헤더를 제공하면 미들웨어의 경로 확인은 실패하지만 라우트 핸들러는 여전히 일치하게 되어 인증 또는 권한 부여 미들웨어를 효과적으로 우회할 수 있습니다. 이 문제는 민감한 라우트를 보호하는 미들웨어에서 event.url 속성에 접근하는 H3( Nitro/Nuxt 포함)로 빌드된 모든 애플리케이션에 영향을 미칩니다. FastURL.href가 정제되지 않은 공격자 제어 입력으로 구성되는 것을 방지하기 위해 즉각적인 수정이 필요합니다. 버전 2.0.1-rc.15에는 이 문제에 대한 패치가 포함되어 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.