CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-47674

Medium
Published: Translated: NVD NIST

Summary

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21, middleware do ograniczenia IP porównywał przychodzące adresy IP z skonfigurowanymi regułami za pomocą równości ciągów po częściowej normalizacji, co prowadziło do pomijania niekanonicznych reprezentacji IPv6.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp, ponieważ reguły ograniczenia IP mogą nie działać poprawnie dla niekanonicznych adresów IPv6, co może prowadzić do luk w zabezpieczeniach.

Recommendation

Zaleca się aktualizację do wersji 4.12.21 lub nowszej, aby naprawić tę podatność i zapewnić prawidłowe działanie reguł ograniczenia IP.

Original NVD description (English source)

Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.21, the ip-restriction middleware (hono/ip-restriction) compares incoming IP addresses against configured deny and allow rules using string equality after partial normalization. Non-canonical IPv6 representations of an address already listed in a static rule — such as compressed forms, explicit-zero forms, or hex-notation IPv4-mapped addresses — do not match the normalized rule entry, causing the rule to be silently skipped. This vulnerability is fixed in 4.12.21.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS