从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:headers configuration directive ignored - 描述:h2o的headers handler配置允许用户修改响应头。配置文件中的headers在内层范围(如路径级别)被期望继承外层范围(如全局级别)定义的配置。然而,如果在内层范围使用headers配置,外层范围的定义将被忽略。这可能导致响应头未按预期修改,从而导致意外的客户端行为。 2. 影响: - 受影响的版本:commit up to 5f5cd8e - 已修复的版本:commit 123f5e2 and above 3. 漏洞严重性: - 严重性:Low - CVSS v3 base metrics: - Attack vector:Network - Attack complexity:High - Privileges required:None - User interaction:Required - Scope:Unchanged - Confidentiality:Low - Integrity:None - Availability:None 4. CVE ID: - CVE-2024-25622 5. 工作原理: - 通过示例代码展示了如何在全局级别添加X-XSS-Protection头,并在内层范围添加foo头,但只有foo头被发送,导致对header-based XSS的保护缺失。 6. 修复: - 该漏洞已被修复,修复的commit是123f5e2。 7. 缓解措施: - 当在内层范围使用headers配置时,需要重复外层范围的所有设置。 8. 致谢: - 感谢@utrenkner发现并报告了这个问题,并在注意到可能的安全影响后单独联系我们。 这些信息可以帮助理解漏洞的性质、影响范围以及如何修复和缓解。