CVE-2024-7768

Nome do Software Vulnerável e Versões Afetadas h2oai/h2o-3 versão 3.46.1

Descrição Uma vulnerabilidade no endpoint "/3/ImportFiles" permite que um atacante cause uma negação de serviço. O endpoint aceita um único parâmetro GET, path, que pode ser configurado recursivamente para referenciar a si mesmo, levando o servidor a chamar repetidamente seu próprio endpoint e eventualmente saturar a fila de requisições, deixando o servidor incapaz de processar outras solicitações.

Recomendações Para a versão 3.46.1, como uma medida de contorno temporária, considere restringir o acesso ao endpoint "/3/ImportFiles" até que um patch esteja disponível. Evite usar o parâmetro path no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.