CVE-2024-8062

Nome do Software Vulnerável e Versões Afetadas h2oai/h2o-3 versão 3.46.0

Descrição Existe um problema de negação de serviço devido a uma vulnerabilidade no endpoint de typeahead. O endpoint realiza uma requisição HEAD para verificar a existência de um recurso especificado sem definir um tempo limite (timeout). Um invasor pode explorar isso enviando múltiplas requisições para um servidor controlado pelo invasor que não responde, fazendo com que a aplicação bloqueie e pare de responder a outras requisições.

Recomendações Para o h2oai/h2o-3 versão 3.46.0, considere implementar um tempo limite (timeout) para a requisição HEAD no endpoint de typeahead para impedir que a aplicação pare de responder. Como solução alternativa temporária, restrinja o acesso ao endpoint de typeahead para minimizar o risco de exploração.