anonhaven

CVE-2026-33128

CRITICAL CVSS 3.1: 10,0 EPSS 0.02%
Обновлено 20 марта 2026
H3
Параметр Значение
CVSS 10,0 (CRITICAL)
Уязвимые версии до 1.15.6
Устранено в версии 1.15.6
Тип уязвимости CWE-93
Поставщик H3
Публичный эксплойт Нет

H3 — это минимальная структура H(TTP). В версиях до 1.15.6 и между 2.0.0 и 2.0.1-rc.14 createEventStream уязвим для внедрения событий, отправленных сервером (SSE) из-за отсутствия очистки новой строки в formatEventStreamMessage() и formatEventStreamComment(). Злоумышленник, контролирующий любую часть поля сообщения SSE (идентификатор, событие, данные или комментарий), может внедрить произвольные события SSE подключенным клиентам.

Эта проблема исправлена ​​в версиях 1.15.6 и 2.0.1-rc.15.

Показать оригинальное описание (EN)

H3 is a minimal H(TTP) framework. In versions prior to 1.15.6 and between 2.0.0 through 2.0.1-rc.14, createEventStream is vulnerable to Server-Sent Events (SSE) injection due to missing newline sanitization in formatEventStreamMessage() and formatEventStreamComment(). An attacker who controls any part of an SSE message field (id, event, data, or comment) can inject arbitrary SSE events to connected clients. This issue is fixed in versions 1.15.6 and 2.0.1-rc.15.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-93

Уязвимые продукты 15

Конфигурация От (включительно) До (исключительно)
H3 H3
cpe:2.3:a:h3:h3:*:*:*:*:*:node.js:*:*
 1.15.6
H3 H3
cpe:2.3:a:h3:h3:2.0.0:*:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc10:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc11:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc12:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc13:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc14:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc2:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc3:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc4:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc5:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc6:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc7:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc8:*:*:*:node.js:*:*
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc9:*:*:*:node.js:*:*

Ссылки 3

https://github.com/h3js/h3/blob/52c82e18bb643d124b8b9ec3b1f62b081f044611/src/ut…
security-advisories@github.com
https://github.com/h3js/h3/commit/7791538e15ca22437307c06b78fa155bb73632a6
security-advisories@github.com
https://github.com/h3js/h3/security/advisories/GHSA-22cc-p3c6-wpvm
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33490

H3

5,3

CVE-2026-33131

H3

9,1

CVE-2026-33129

H3

5,9