CVE-2024-43787

Versões do Hono anteriores à 4.5.8

O middleware CSRF do Hono pode ser contornado por meio de um cabeçalho Content-Type manipulado. Isso ocorre porque os tipos MIME não diferenciam maiúsculas de minúsculas, mas a função isRequestedByFormElementRe só compara tipos MIME em minúsculas. Como resultado, um invasor pode contornar o middleware CSRF usando um tipo MIME semelhante a um formulário em maiúsculas, como “Application/x-www-form-urlencoded”.

Para versões anteriores à 4.5.8, atualize para a versão 4.5.8 para corrigir a vulnerabilidade. Como solução temporária, considere modificar a função isRequestedByFormElementRe para comparar tipos MIME sem distinção entre maiúsculas e minúsculas. Restrinja o acesso ao middleware CSRF para minimizar o risco de exploração. Evite usar tipos MIME semelhantes a formulários em maiúsculas no cabeçalho Content-Type até que o problema seja resolvido.