一、 漏洞 CVE-2026-22817 基础信息
漏洞信息
# Hono JWT中间件HS256默认算法漏洞
## 概述
Hono 是一个支持任意 JavaScript 运行时的 Web 应用框架。在 4.11.4 之前版本中,其 JWK/JWKS JWT 验证中间件存在缺陷,当所选 JWK 未明确指定算法时,JWT 头部的 `alg` 值会影响签名验证过程。
## 影响版本
4.11.4 之前的所有版本。
## 细节
该漏洞允许攻击者利用 JWT 算法混淆(algorithm confusion)攻击。当 JWK 未显式声明 `alg` 字段时,中间件会依赖 JWT 头部中的 `alg` 值来决定验证算法,而该值来自不可信输入。攻击者可借此伪造 JWT 并绕过验证。
修复后,JWT 中间件强制要求显式指定 `alg` 选项,验证过程不再受 JWT 头部 `alg` 值影响。
## 影响
在受影响配置下,攻击者可能伪造有效的 JWT 令牌,导致身份认证绕过,造成未授权访问。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
JWT Algorithm Confusion via Unsafe Default (HS256) in Hono JWT Middleware Allows Token Forgery and Auth Bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.11.4, there is a flaw in Hono’s JWK/JWKS JWT verification middleware allowed the JWT header’s alg value to influence signature verification when the selected JWK did not explicitly specify an algorithm. This could enable JWT algorithm confusion and, in certain configurations, allow forged tokens to be accepted. As part of this fix, the JWT middleware now requires the alg option to be explicitly specified. This prevents algorithm confusion by ensuring that the verification algorithm is not derived from untrusted JWT header values. This vulnerability is fixed in 4.11.4.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
密码学签名的验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Hono 数据伪造问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hono是Hono社区的一个用 TypeScript 编写的 Web 框架。 Hono 4.11.4之前版本存在数据伪造问题漏洞,该漏洞源于JWT验证中间件允许JWT标头算法值影响签名验证,可能导致算法混淆和接受伪造令牌。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-22817 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-22817 的情报信息
标题: JWT Algorithm Confusion via Unsafe Default (HS256) in Hono JWT Middleware Allows Token Forgery and Auth Bypass · Advisory · honojs/hono · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:- **Vulnerability Title**: JWT Algorithm Confusion via Unsafe Default (HS256) in Hono JWT Middleware Allows Token Forgery and Auth Bypass - **Severity**: High (CVSS: 8.2) - **Affected Package**: hono (npm) - **Affected Versions**: < 4.11.4 - **Patched Versions**: 4.11.4 - **CVE ID**: CVE-2026-22817 - **Weakness**: CWE-347 - **Impact**: This vulnerability allows an attacker to forge JWTs with attacker-controlled claims, potentially leading to authentication or authorization bypass in certain configurations. - **Resolution**: Update to the latest patched release and explicitly specify the `alg` option in the JWT middleware configuration to prevent algorithm confusion.
标题: Merge commit from fork · honojs/hono@cc0aa7a · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:```md ### 关键漏洞信息 #### 1. **算法混淆攻击预防** - **描述**: 该提交旨在通过要求在JWT验证过程中显式指定算法类型来防止算法混淆攻击。这防止了攻击者利用默认的HS256与非对称密钥攻击系统。 - **更改点**: - 移除了JWT验证时的HS256默认回退选项。 - 在验证函数中添加了对`alg`参数的要求。 - 在`jwt`中间件中添加了对`alg`选项的要求。 - 在运行时添加了验证逻辑,当未提供`alg`时抛出错误。 - 更新了文档和示例以反映对`alg`参数的需求。 #### 2. **算法不匹配检查** - **描述**: 引入了新的错误类型`JwAlgorithmMismatch`,并在`verify`函数中检查JWT头部指定的算法是否与提供的算法选项匹配。这防止了攻击者使用与预期不同的算法。 - **更改点**: - 在类型定义中添加了`check header.alg === options.alg`校验。 - 在`verify`函数中使用正确的算法进行测试。 - 增加了 explicit 的算法检测测试。 #### 3. **测试和文档更新** - **描述**: 更新了测试用例,以验证安全修复是否有效防止算法混淆攻击,并更新了文档和示例代码。 - **更改点**: - 新增了针对算法混淆攻击预防的功能性测试。 - 更新了文档和示例,以明确`alg`参数的使用。 #### 4. **文档和示例更新** - **描述**: 更新了文档和示例代码以反映对`alg`参数的要求,确保开发者了解这一重要的安全特性。 - **更改点**: - 对文档进行了更新,说明`alg`参数的必要性。 - 更新示例代码,展示如何正确使用`alg`参数。 #### 总结 此次提交主要针对JWT验证时的算法混淆攻击进行了修复,通过要求显式指定算法类型来提高系统的安全性。更新还包括了相关测试和文档,以确保开发者能正确使用和理解这一安全特性。
- https://nvd.nist.gov/vuln/detail/CVE-2026-22817
四、漏洞 CVE-2026-22817 的评论
暂无评论