CVE-2024-25622

Versões do h2o anteriores àquela que contém o commit 123f5e2b65dcdba8f7ef659a00d24bd1249141be

O h2o é um servidor HTTP com suporte para HTTP/1.x, HTTP/2 e HTTP/3. As diretivas de configuração fornecidas pelo manipulador de cabeçalhos permitem que os usuários modifiquem os cabeçalhos de resposta enviados pelo h2o. O arquivo de configuração do h2o possui escopos, e espera-se que os escopos internos herdem a configuração definida nos escopos externos. No entanto, se uma diretiva de cabeçalho for usada no escopo interno, todas as definições nos escopos externos serão ignoradas. Isso pode fazer com que os cabeçalhos não sejam modificados conforme o esperado, potencialmente causando um comportamento inesperado do cliente devido à adição ou remoção de cabeçalhos.

Para versões anteriores àquela que contém o commit 123f5e2b65dcdba8f7ef659a00d24bd1249141be, atualize para uma versão que inclua esse commit para resolver o problema. Como solução alternativa temporária, considere revisar e ajustar as diretivas de configuração no manipulador de cabeçalhos para minimizar o risco de comportamento inesperado do cliente. Restrinja o acesso a áreas confidenciais do arquivo de configuração para evitar modificações indesejadas.