Katalog CVE

CVE-2026-56762

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Hono przed wersją 4.12.12 nie weryfikuje nazw ciasteczek w funkcjach setCookie(), serialize() i serializeSigned(), co pozwala na użycie nieprawidłowych znaków, takich jak znaki kontrolne. Może to prowadzić do błędnych wartości nagłówków Set-Cookie.

Ocena ryzyka

Problem ten wpływa na poprawność i niezawodność aplikacji, prowadząc do błędów w czasie wykonywania, co może wpłynąć na dostępność systemu.

Rekomendacja

Zaleca się aktualizację Hono do wersji 4.12.12 lub nowszej, aby zapewnić prawidłową walidację nazw ciasteczek.

Oryginalny opis (angielski, źródło NVD)

Hono before 4.12.12 does not validate cookie names on the write path in the setCookie(), serialize(), and serializeSigned() functions, allowing invalid characters such as control characters (e.g. \r or \n) when an application passes a user-controlled cookie name. This can produce malformed Set-Cookie header values. In modern runtimes such as Node.js and Cloudflare Workers, such invalid header values are rejected and cause a runtime error before the response is sent, so header injection or response splitting could not be reproduced; the issue primarily affects correctness and robustness, resulting in runtime errors (availability) rather than confirmed header injection.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS