Katalog CVE

CVE-2026-54290

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Hono to framework aplikacji webowej, który przed wersją 4.12.25 miał lukę w middleware CORS. Przy ustawieniu 'credentials: true' i braku wyraźnie określonego pochodzenia, middleware odzwierciedlało pochodzenie żądania, co pozwalało na wykonywanie uwierzytelnionych żądań międzydomenowych przez dowolne strony.

Ocena ryzyka

Luka ta narażała punkty końcowe uwierzytelnione za pomocą ciasteczek na dostęp z dowolnych źródeł, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych.

Rekomendacja

Zaleca się aktualizację frameworka Hono do wersji 4.12.25 lub nowszej, aby usunąć tę podatność oraz skonfigurowanie CORS z wyraźnie określonymi pochodzeniami.

Oryginalny opis (angielski, źródło NVD)

Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.25, with credentials: true and no explicit origin (the default wildcard), the CORS Middleware reflects the request's Origin and sends Access-Control-Allow-Credentials: true. Any site can then make credentialed cross-origin requests and read the responses, exposing cookie-authenticated endpoints to arbitrary origins. This vulnerability is fixed in 4.12.25.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS