漏洞总结:h3 框架请求走私漏洞 漏洞概述 漏洞名称:h3 框架请求走私漏洞 CVE 编号:CVE-2026-23527 GHSA 编号:GHSA-m2g9-9vg9-f4cg CVSS 评分:8.9 严重程度:HIGH 发现时间:2026-01-15 修复时间:2026-01-15 影响版本:h3 < v1.5.5 漏洞原理 h3 框架在处理 HTTP 请求体时,对 头部的检查存在大小写敏感问题。根据 RFC 7230, 值应该进行大小写不敏感的比较,但 h3 使用了大小写敏感的 检查。 当攻击者发送 (首字母大写)时,h3 无法识别分块编码,会认为请求没有 body,直接返回响应而不消费请求数据。而前面的反向代理正确识别了分块编码,导致请求体数据残留在连接缓冲区中,被下一个请求读取,造成请求走私。 影响范围 所有使用 h3 框架的 Nuxt 和 Nitro 应用 部署在反向代理后面的 h3 应用 可能导致: - 绕过 WAF 防护 - 用户间响应污染 - 认证绕过 - 敏感数据泄露 修复方案 在 commit 中,将原来的大小写敏感检查替换为大小写不敏感的正则表达式: 修复后的代码: POC 代码 攻击者发送的请求示例: 其中: 是十六进制表示的 chunk 大小 是数据内容 标记最后一个 chunk