CVE-2026-43972

Nome do Software Vulnerável e Versões Afetadas ninenines gun versões 2.0.0 até 2.3.x

Descrição Um erro de validação de origem no módulo gun http2 permite a injeção de cookies de origem cruzada (cross-origin) por meio de uma autoridade HTTP/2 PUSH PROMISE não validada. Na função push promise frame(), o pseudo-cabeçalho :authority de um frame PUSH PROMISE recebido é armazenado no registro de stream prometido sem verificar se ele corresponde à origem da conexão. Posteriormente, a função headers frame() chama a set cookie header() utilizando essa autoridade não validada. Este comportamento viola os padrões de protocolo que exigem que os receptores tratem pushes de recursos para os quais o servidor não é autoritativo como erros de protocolo. Um servidor HTTP/2 malicioso ou comprometido pode usar isso para implantar cookies de domínios de terceiros arbitrários no armazenamento de cookies compartilhado do cliente, podendo levar a ataques de fixação de sessão ou sequestro de conta. Isso é explorável quando o software está configurado com um cookie store e se conecta a um servidor HTTP/2 com server push habilitado.

Recomendações Atualize para a versão 2.4.0 ou posterior. Como mitigação temporária, evite conectar-se a servidores HTTP/2 com server push habilitado ou desative a configuração cookie store.