CVE-2026-47674

Hono: IP Restriction bypasses static deny rules for non-canonical IPv6

CVSS 5.3 MEDIUMEPSS 0.2%CWE-1289 CWE-185

En resumen

La función de bloqueo de IP de Hono puede ser eludida cuando las direcciones IPv6 se escriben en formatos diferentes. Un atacante puede usar representaciones alternativas de una dirección IP bloqueada (como formas comprimidas o expandidas) para evadir reglas de seguridad destinadas a denegar acceso.

Detalle técnico

El middleware ip-restriction de Hono realiza una normalización incompleta de direcciones IPv6 antes de la comparación de cadenas con reglas estáticas de deny/allow. Las representaciones no canónicas de IPv6 (formas comprimidas, formas con ceros expandidos, direcciones IPv4-mapeadas en notación hexadecimal) fallan al coincidir con entradas de reglas estáticas, permitiendo eludir controles de acceso basados en IP. El vector de ataque es basado en red sin autenticación requerida; el impacto es la elusión de políticas de seguridad basadas en IP.

Resumen generado y traducido por IA a partir de la descripción oficial.

Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.21, the ip-restriction middleware (hono/ip-restriction) compares incoming IP addresses against configured deny and allow rules using string equality after partial normalization. Non-canonical IPv6 representations of an address already listed in a static rule — such as compressed forms, explicit-zero forms, or hex-notation IPv4-mapped addresses — do not match the normalized rule entry, causing the rule to be silently skipped. This vulnerability is fixed in 4.12.21.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Productos afectados

honojs · hono

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/honojs/hono/security/advisories/GHSA-xrhx-7g5j-rcj5