honoにおける入力確認に関する脆弱性
| Title |
honoにおける入力確認に関する脆弱性
|
| Summary |
Honoは任意のJavaScriptランタイムをサポートするWebアプリケーションフレームワークです。4.12.12以前のバージョンでは、ブラウザのクッキー解析とparse()の処理に不一致があり、クッキーのプレフィックス保護がバイパスされる可能性がありました。ブラウザ上で異なるものとして扱われるクッキー名がparse()によって同じキーに正規化されるため、攻撃者が制御するクッキーで正当なクッキーを上書きできてしまいます。この脆弱性は4.12.12で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 8, 2026, midnight |
| Registration Date |
April 23, 2026, 10:11 a.m. |
| Last Update |
April 23, 2026, 10:11 a.m. |
|
CVSS3.0 : 警告
|
| Score |
4.8
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Affected System
| hono |
|
hono 4.12.11 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月23日]
掲載 |
April 23, 2026, 10:11 a.m. |
NVD Vulnerability Information
CVE-2026-39410
| Summary |
Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.12, a discrepancy between browser cookie parsing and parse() handling allows cookie prefix protections to be bypassed. Cookie names that are treated as distinct by the browser may be normalized to the same key by parse(), allowing attacker-controlled cookies to override legitimate ones. This vulnerability is fixed in 4.12.12.
|
| Publication Date |
April 9, 2026, 12:16 a.m. |
| Registration Date |
April 15, 2026, 11:32 a.m. |
| Last Update |
April 22, 2026, 3:26 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:hono:hono:*:*:*:*:*:node.js:*:* |
|
4.12.11 |
|
|
Related information, measures and tools
Common Vulnerabilities List