CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-47675

Medium
Published: Translated: NVD NIST

Summary

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21 funkcja serialize() w hono/cookie walidowała opcje domeny i ścieżki, ale nie stosowała tej samej walidacji dla sameSite i priority, co mogło prowadzić do wstrzyknięcia dodatkowych atrybutów przez atakującego.

Risk Assessment

Aplikacje, które przekazują dane kontrolowane przez użytkownika do opcji sameSite lub priority, mogą generować nagłówki Set-Cookie z nieautoryzowanymi atrybutami, co stwarza ryzyko ataków typu cookie injection.

Recommendation

Zaleca się aktualizację do wersji 4.12.21 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji danych wejściowych.

Original NVD description (English source)

Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.21, the serialize() function in hono/cookie validates domain and path options against characters that corrupt Set-Cookie header syntax (;, \r, \n), but does not apply the same validation to sameSite and priority. An application that passes user-controlled input into either option may produce a Set-Cookie response header containing attacker-chosen additional attributes. This vulnerability is fixed in 4.12.21.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS