PT-2024-33264 · Hono · Hono
Kageshiron
·
Publicado
2024-10-15
·
Atualizado
2025-09-17
·
CVE-2024-48913
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Hono anteriores à 4.6.5
Descrição
A vulnerabilidade permite que um invasor contorne a proteção contra falsificação de solicitação entre sites (CSRF) implementada com o middleware CSRF do Hono, enviando uma solicitação sem um cabeçalho Content-Type. Embora o middleware CSRF verifique o cabeçalho Content-Type, o Hono considera uma solicitação sem esse cabeçalho como segura. Isso pode ser explorado usando a API fetch, que não adiciona um cabeçalho Content-Type para solicitações sem corpo.
Recomendações
Para versões do Hono anteriores à 4.6.5, atualize para a versão 4.6.5 para corrigir a vulnerabilidade. Como solução temporária, considere implementar validação adicional para solicitações sem um cabeçalho Content-Type para impedir a contornamento da proteção contra CSRF. Restrinja o acesso a endpoints confidenciais que dependem do middleware CSRF do Hono até que a atualização seja aplicada.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hono