CVE-2026-33490H3是一个极简的HTTP框架。在受影响版本中,`mount()`方法使用简单的`startsWith()`检查来匹配请求路径,未严格验证路径段边界。因此,挂载在`/admin`路径下的中间件会被`/admin-public`、`/administrator`等无关路由意外触发。攻击者可利用此缺陷执行未经授权的上下文设置操作,可能污染请求上下文并注入意外的权限标志,从而导致安全绕过风险。
该漏洞源于H3框架在处理子应用挂载时的逻辑缺陷。当开发者调用`mount('/admin', app)`时,框架意图是仅当请求路径以`/admin`开头且后面是路径分隔符`/`或字符串结束时才匹配。然而,受影响版本仅使用了`path.startsWith('/admin')`进行判断。这意味着任何包含该前缀的路径(如`/admin-foo`)都会被视为匹配成功。攻击者无需认证即可发送特制请求。如果挂载的中间件包含权限校验或上下文设置逻辑(例如设置`event.context.userRole = 'admin'`),这些逻辑将在访问非预期路径时被错误执行。这可能导致访问控制失效,攻击者可能利用被污染的上下文信息访问受限资源或绕过后续的安全检查。