漏洞标题
可以通过精心制作的Content-Type头部绕过Hono CSRF中间件
漏洞描述信息
Hono是一个网络应用框架,支持任何JavaScript运行时。Hono的CSRF中间件可以通过精心设计的内容类型(Content-Type)头信息被绕过。MIME类型是大小写不敏感的,但是isRequestedByFormElementRe只匹配小写形式。因此,攻击者可以通过使用大写的表单类似MIME类型来绕过CSRF中间件。这个漏洞已经在4.5.8版本中得到了修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
Hono CSRF middleware can be bypassed using crafted Content-Type header
漏洞描述信息
Hono is a Web application framework that provides support for any JavaScript runtime. Hono CSRF middleware can be bypassed using crafted Content-Type header. MIME types are case insensitive, but isRequestedByFormElementRe only matches lower-case. As a result, attacker can bypass csrf middleware using upper-case form-like MIME type. This vulnerability is fixed in 4.5.8.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
Hono 安全漏洞
漏洞描述信息
Hono是Hono社区的一个用 TypeScript 编写的 Web 框架。 Hono 4.5.8之前版本存在安全漏洞,该漏洞源于可以使用特制的Content-Type标头绕过CSRF中间件。
CVSS信息
N/A
漏洞类别
其他