Katalog CVE

CVE-2026-44459

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Hono to framework aplikacji webowych, który wspiera dowolne środowisko uruchomieniowe JavaScript. W wersjach przed 4.12.18, niewłaściwa walidacja roszczeń JWT NumericDate exp, nbf i iat w hono/utils/jwt pozwala na ciche pominięcie kontroli czasowych przez tokeny z wartościami roszczeń, które nie są zgodne ze specyfikacją.

Ocena ryzyka

Organizacje mogą być narażone na wykorzystanie tej podatności, co może prowadzić do nieautoryzowanego dostępu do zasobów chronionych przez JWT. Brak odpowiednich kontroli czasowych może umożliwić atakującym użycie przestarzałych lub nieprawidłowych tokenów.

Rekomendacja

Zaleca się aktualizację frameworka Hono do wersji 4.12.18 lub nowszej, aby zapewnić poprawną walidację roszczeń JWT. Dodatkowo, warto przeprowadzić audyt istniejących tokenów i wdrożyć dodatkowe kontrole bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.18, improper validation of the JWT NumericDate claims exp, nbf, and iat in hono/utils/jwt allows tokens with non-spec-compliant claim values to silently bypass time-based checks. This issue is not exp

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS