PT-2025-34706 · H2+2 · H2+2

Sebastianosrt

·

Publicado

2025-08-23

·

Atualizado

2026-06-03

·

CVE-2025-57804

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas: Versões do h2 anteriores a 4.3.0
Descrição: O h2 é uma implementação em Python puro de uma pilha de protocolos HTTP/2. Uma falha de divisão de requisição permite que atacantes realizem ataques de contrabando de requisição injetando caracteres CRLF nos cabeçalhos. Isso ocorre quando os servidores rebaixam requisições HTTP/2 para HTTP/1.1 sem validar adequadamente os nomes/valores dos cabeçalhos, permitindo que atacantes manipulem os limites da requisição e contornem controles de segurança.
Recomendações: Atualize para a versão 4.3.0 ou posterior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-93

Identificadores relacionados

BDU:2026-02911
CVE-2025-57804
DLA-4290-1
ECHO-A060-6EE9-114C
GHSA-847F-9342-265H
OESA-2025-2250
OPENSUSE-SU-2025:15496-1
OPENSUSE-SU-2026:20122-1
SUSE-SU-2025:03199-1
SUSE-SU-2025:03273-1
SUSE-SU-2025_03273-1
SUSE-SU-2026:20187-1

Produtos afetados

Debian
Suse
H2