CVE-2020-26281

Versões do async-h1 anteriores à 2.3.0

A vulnerabilidade consiste em um ataque de contrabando de solicitações que afeta servidores web que utilizam o async-h1 atrás de um proxy reverso, incluindo aplicações Tide. Se um servidor não ler o corpo de uma solicitação que exceda um determinado comprimento de buffer, o async-h1 tentará ler uma solicitação subsequente a partir do conteúdo do corpo. Isso pode ser explorado por um invasor para criar uma solicitação que falsifique cabeçalhos forwarded/x-forwarded, potencialmente enganando aplicativos que confiam nesses cabeçalhos. Além disso, se um proxy reverso enviar solicitações de vários clientes pela mesma conexão keep-alive, uma solicitação contrabandeada poderia capturar a solicitação de outro usuário em seu corpo, permitindo que o conteúdo seja recuperado pelo invasor.

Para resolver o problema, atualize para a versão 2.3.0 ou posterior do async-h1, pois as versões anteriores foram retiradas.

Como solução alternativa temporária, considere restringir o acesso ao analisador async-h1 por trás de um proxy reverso para minimizar o risco de exploração.