← voltar
CVE-2026-47674

Hono: IP Restriction bypasses static deny rules for non-canonical IPv6

CVSS 5.3 MEDIUMEPSS 0.2%CWE-1289CWE-185
Em resumo

O recurso de bloqueio de IP do Hono pode ser contornado quando endereços IPv6 são escritos em formatos diferentes. Um atacante pode usar representações alternativas de um endereço IP bloqueado (como formas comprimidas ou expandidas) para burlar regras de segurança destinadas a negar acesso.

Detalhe técnico

O middleware ip-restriction do Hono realiza normalização incompleta de endereços IPv6 antes da comparação de strings com regras de deny/allow estáticas. Representações não-canônicas de IPv6 (formas comprimidas, formas com zeros expandidos, endereços IPv4-mapeados em notação hexadecimal) falham em corresponder às entradas de regras estáticas, permitindo contorno de controles de acesso baseados em IP. O vetor de ataque é baseado em rede sem autenticação necessária; o impacto é a circunvenção de políticas de segurança baseadas em IP.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.21, the ip-restriction middleware (hono/ip-restriction) compares incoming IP addresses against configured deny and allow rules using string equality after partial normalization. Non-canonical IPv6 representations of an address already listed in a static rule — such as compressed forms, explicit-zero forms, or hex-notation IPv4-mapped addresses — do not match the normalized rule entry, causing the rule to be silently skipped. This vulnerability is fixed in 4.12.21.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
honojs · hono

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/honojs/hono/security/advisories/GHSA-xrhx-7g5j-rcj5