Katalog CVE

CVE-2026-56761

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Podatność HTML injection w bibliotece Hono przed wersją 4.12.14 umożliwia atakującym wstrzyknięcie niepożądanego kodu HTML poprzez użycie zniekształconych nazw atrybutów podczas renderowania po stronie serwera JSX. Specjalnie spreparowane klucze atrybutów zawierające znaki takie jak cudzysłowy lub nawiasy ostrokątne mogą przełamać granice znaczników HTML i wstrzyknąć dowolne atrybuty lub elementy.

Ocena ryzyka

Ryzyko polega na możliwości wstrzyknięcia złośliwego kodu HTML, co może prowadzić do ataków typu cross-site scripting (XSS) lub defacementu strony, a w konsekwencji do kradzieży danych użytkowników lub przejęcia kontroli nad sesjami.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Hono do wersji 4.12.14 lub nowszej, która zawiera poprawkę eliminującą podatność. W przypadku braku możliwości aktualizacji, należy dokładnie walidować i oczyszczać wszystkie nazwy atrybutów przed użyciem w renderowaniu JSX.

Oryginalny opis (angielski, źródło NVD)

hono before 4.12.14 contains an html injection vulnerability in jsx server-side rendering that allows attackers to inject unintended html by using malformed attribute names. Attackers can craft specially crafted attribute keys containing characters like quotes or angle brackets to break html tag boundaries and inject arbitrary attributes or elements.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS