CVE-2026-47676— Hono 安全漏洞
Possible ATT&CK Techniques 1AI
T1190 · Exploit Public-Facing Application新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-47676の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Hono: app.mount() strips mount prefix using undecoded path, causing incorrect routing for percent-encoded paths
ソース: NVD (National Vulnerability Database)
脆弱性説明
Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.21, app.mount() strips the mount prefix from the incoming request path using the raw URL pathname, while route matching is performed against the percent-decoded path. This inconsistency causes the prefix to be stripped at the wrong position when the path contains percent-encoded multi-byte characters, resulting in the mounted sub-application receiving an incorrect path. This vulnerability is fixed in 4.12.21.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
HTTP请求的解释不一致性(HTTP请求私运)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Hono 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Hono是Hono社区的一个用 TypeScript 编写的 Web 框架。 Hono 4.12.21之前版本存在安全漏洞,该漏洞源于app.mount()使用原始URL路径名去除挂载前缀,而路由匹配针对百分比解码路径执行,导致当路径包含百分比编码的多字节字符时前缀被错误去除,使挂载的子应用程序接收到错误路径。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-47676の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-47676のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-47676 厂商安全公告 (1)
Same Patch Batch · honojs · 2026-05-28 · 4 CVEs total
| CVE-2026-47674 | 5.3 MEDIUM | Hono: IP Restriction bypasses static deny rules for non-canonical IPv6 |
| CVE-2026-47673 | 4.8 MEDIUM | Hono: JWT middleware accepts any Authorization scheme, not only Bearer |
| CVE-2026-47675 | 4.3 MEDIUM | Hono: Cookie helper does not sanitize sameSite and priority, allowing Set-Cookie injection |
IV. 関連脆弱性
同じ製品: hono
- CVE-2026-47673
Hono: JWT middleware accepts any Authorization scheme, not o - CVE-2026-47674
Hono: IP Restriction bypasses static deny rules for non-cano - CVE-2026-47675
Hono: Cookie helper does not sanitize sameSite and priority, - CVE-2026-44459
Hono: Improper validation of NumericDate claims (exp, nbf, i - CVE-2026-44458
Hono: CSS Declaration Injection via Style Object Values in J
同じベンダー: honojs
- CVE-2026-47673
Hono: JWT middleware accepts any Authorization scheme, not o - CVE-2026-47674
Hono: IP Restriction bypasses static deny rules for non-cano - CVE-2026-47675
Hono: Cookie helper does not sanitize sameSite and priority, - CVE-2026-44459
Hono: Improper validation of NumericDate claims (exp, nbf, i - CVE-2026-44458
Hono: CSS Declaration Injection via Style Object Values in J
同じ弱点: CWE-444
- CVE-2026-6324
Libsoup: libsoup: http request smuggling via unsigned to sig - CVE-2026-48710
Starlette has missing Host header validation that poisons re - CVE-2026-8620
IBM WebSphere Application Server and WebSphere Application S - CVE-2026-42585
Netty: HTTP Request Smuggling due to malformed Transfer-Enco - CVE-2026-42584
Netty: HttpClientCodec response desynchronization
V. CVE-2026-47676へのコメント
まだコメントはありません