CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 0CVE-2017-10908
https://notcve.org/view.php?id=CVE-2017-10908
22 Dec 2017 — H2O version 2.2.3 and earlier allows remote attackers to cause a denial of service in the server via specially crafted HTTP/2 header. H2O en sus versiones 2.2.3 y anteriores permite que atacantes remotos provoquen una denegación de servicio (DoS) en el servidor mediante cabeceras HTTP/2 especialmente manipuladas. • https://github.com/h2o/h2o/issues/1544 • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 3%CPEs: 2EXPL: 0CVE-2016-7835
https://notcve.org/view.php?id=CVE-2016-7835
09 Jun 2017 — Use-after-free vulnerability in H2O allows remote attackers to cause a denial-of-service (DoS) or obtain server certificate private keys and possibly other information. La vulnerabilidad use-after-free en H2O permite a atacantes remotos causar una denegación de servicio (DoS) o obtener claves privadas de certificados de servidor y posiblemente otra información. • http://www.securityfocus.com/bid/95061 • CWE-416: Use After Free •
CVSS: 7.5EPSS: 1%CPEs: 3EXPL: 0CVE-2016-4864
https://notcve.org/view.php?id=CVE-2016-4864
12 May 2017 — H2O versions 2.0.3 and earlier and 2.1.0-beta2 and earlier allows remote attackers to cause a denial-of-service (DoS) via format string specifiers in a template file via fastcgi, mruby, proxy, redirect or reproxy. H2O versiones 2.0.3 y anteriores y 2.1.0-beta2 y anteriores, permite a atacantes remotos causar una denegación de servicio (DoS) a través de especificadores de cadena de formato en un fichero de plantilla a través de fastcgi, mruby, proxy, redirect o reproxy. • https://github.com/h2o/h2o/issues/1077 • CWE-134: Use of Externally-Controlled Format String •
CVSS: 7.5EPSS: 7%CPEs: 2EXPL: 0CVE-2016-4817
https://notcve.org/view.php?id=CVE-2016-4817
19 Jun 2016 — lib/http2/connection.c in H2O before 1.7.3 and 2.x before 2.0.0-beta5 mishandles HTTP/2 disconnection, which allows remote attackers to cause a denial of service (use-after-free and application crash) or possibly execute arbitrary code via a crafted packet. lib/http2/connection.c en H2O en versiones anteriores a 1.7.3 y 2.x en versiones anteriores a 2.0.0-beta5 no maneja correctamente desconexión de HTTP/2, lo que permite a atacantes remotos provocar una denegación de servicio (uso después de liberación de ... • http://jvn.jp/en/jp/JVN87859762/index.html •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2016-1133
https://notcve.org/view.php?id=CVE-2016-1133
16 Jan 2016 — CRLF injection vulnerability in the on_req function in lib/handler/redirect.c in H2O before 1.6.2 and 1.7.x before 1.7.0-beta3 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via a crafted URI. Vulnerabilidad de inyección CRLF en la función on_req en lib/handler/redirect.c en H2O en versiones anteriores a 1.6.2 y 1.7.x en versiones anteriores a 1.7.0-beta3 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y realizar ataques de separación de ... • http://jvn.jp/en/jp/JVN45928828/index.html •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2015-5638
https://notcve.org/view.php?id=CVE-2015-5638
20 Sep 2015 — Directory traversal vulnerability in H2O before 1.4.5 and 1.5.x before 1.5.0-beta2, when the file.dir directive is enabled, allows remote attackers to read arbitrary files via a crafted URL. Vulnerabilidad de salto de directorio en H2O en versiones anteriores a 1.4.5 y 1.5.x en versiones anteriores a 1.5.0-beta2, cuando la directiva file.dir está habilitada, permite a atacantes remotos leer archivos arbitrarios a través de una URL manipulada. • http://jvn.jp/en/jp/JVN65602714/index.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •