Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-02911

Опубликовано: 23 авг. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость стека протокола http/2 Python-h2 связана с непринятием мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Вендор

ООО «РусБИТех-Астра»
Python Software Foundation

Наименование ПО

Astra Linux Special Edition
Python-h2

Версия ПО

1.8 (Astra Linux Special Edition)
3.8 (Astra Linux Special Edition)
до 4.3.0 (Python-h2)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Python-h2:
https://github.com/python-hyper/h2/security/advisories/GHSA-847f-9342-265h
Для ОС Astra Linux:
обновить пакет python-h2 до 4.1.0-4+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Для ОС Astra Linux:
обновить пакет python-h2 до 4.1.0-4+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00066
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-57804

ubuntu
8 месяцев назад

h2 is a pure-Python implementation of a HTTP/2 protocol stack. Prior to version 4.3.0, an HTTP/2 request splitting vulnerability allows attackers to perform request smuggling attacks by injecting CRLF characters into headers. This occurs when servers downgrade HTTP/2 requests to HTTP/1.1 without properly validating header names/values, enabling attackers to manipulate request boundaries and bypass security controls. This issue has been patched in version 4.3.0.

redhat логотип

CVE-2025-57804

CVSS3: 5.3
redhat
8 месяцев назад

h2 is a pure-Python implementation of a HTTP/2 protocol stack. Prior to version 4.3.0, an HTTP/2 request splitting vulnerability allows attackers to perform request smuggling attacks by injecting CRLF characters into headers. This occurs when servers downgrade HTTP/2 requests to HTTP/1.1 without properly validating header names/values, enabling attackers to manipulate request boundaries and bypass security controls. This issue has been patched in version 4.3.0.

nvd логотип

CVE-2025-57804

nvd
8 месяцев назад

h2 is a pure-Python implementation of a HTTP/2 protocol stack. Prior to version 4.3.0, an HTTP/2 request splitting vulnerability allows attackers to perform request smuggling attacks by injecting CRLF characters into headers. This occurs when servers downgrade HTTP/2 requests to HTTP/1.1 without properly validating header names/values, enabling attackers to manipulate request boundaries and bypass security controls. This issue has been patched in version 4.3.0.

debian логотип

CVE-2025-57804

debian
8 месяцев назад

h2 is a pure-Python implementation of a HTTP/2 protocol stack. Prior t ...

suse-cvrf логотип

openSUSE-SU-2026:20122-1

suse-cvrf
2 месяца назад

Security update for python-h2

EPSS

Процентиль: 20%
0.00066
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2