CVE-2026-54288
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Framework Hono przed wersją 4.12.25 ma lukę w middleware Body Limit, który ufa nagłówkowi Content-Length żądania do określenia, czy ciało żądania mieści się w dozwolonym limicie. Na AWS Lambda, klient może zadeklarować mniejszy Content-Length, wysyłając jednocześnie większe ciało, co pozwala na obejście limitu.
Ocena ryzyka
Organizacje mogą być narażone na ataki, w których złośliwi klienci mogą przesyłać większe dane niż dozwolone, co może prowadzić do problemów z wydajnością lub bezpieczeństwem aplikacji.
Rekomendacja
Zaleca się aktualizację frameworka Hono do wersji 4.12.25 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.25, the Body Limit Middleware trusts the request's Content-Length header to decide whether a body is within the limit. On AWS Lambda (API Gateway v1/v2, ALB, VPC Lattice, and Lambda@Edge) the body is delivered fully buffered and the adapter builds the request with the client-declared Content-Length, which need not match the actual payload. A client can declare a tiny Content-Length while sending a much larger body, slipping past the limit. This vulnerability is fixed in 4.12.25.

