CVE-2025-58362 (CNNVD-202509-938)

HIGH
中文标题:
Hono 安全漏洞
英文标题:
Hono contains a flaw in URL path parsing, potentially leading to path confusion
CVSS分数: 7.5
发布时间: 2025-09-04 23:56:13
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Hono是Hono社区的一个用 TypeScript 编写的 Web 框架。 Hono 4.9.5及之前版本存在安全漏洞,该漏洞源于getPath函数路径解析错误,可能导致绕过代理ACL。

英文描述:

Hono is a Web application framework that provides support for any JavaScript runtime. Versions 4.8.0 through 4.9.5 contain a flaw in the getPath utility function which could allow path confusion and potential bypass of proxy-level ACLs (e.g. Nginx location blocks). The original implementation relied on fixed character offsets when parsing request URLs. Under certain malformed absolute-form Request-URIs, this could lead to incorrect path extraction depending on the application and environment. If proxy ACLs are used to protect sensitive endpoints such as /admin, this flaw could have allowed unauthorized access. The confidentiality impact depends on what data is exposed: if sensitive administrative data is exposed, the impact may be high, otherwise it may be moderate. This issue is fixed in version 4.9.6.

CWE类型:
CWE-706
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
honojs hono >= 4.8.0, < 4.9.6 - - cpe:2.3:a:honojs:hono:>=_4.8.0,_<_4.9.6:*:*:*:*:*:*:*
hono hono * - - cpe:2.3:a:hono:hono:*:*:*:*:*:node.js:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
https://github.com/honojs/hono/security/advisories/GHSA-9hp6-4448-45g2 x_refsource_CONFIRM
cve.org
访问
https://github.com/honojs/hono/commit/1d79aedc3f82d8c9969b115fe61bc4bd705ec8de x_refsource_MISC
cve.org
访问
https://github.com/honojs/hono/releases/tag/v4.9.6 x_refsource_MISC
cve.org
访问
CVSS评分详情
3.1 (cna)
HIGH
7.5
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
机密性
HIGH
完整性
NONE
可用性
NONE
时间信息
发布时间:
2025-09-04 23:56:13
修改时间:
2025-09-05 16:05:20
创建时间:
2025-11-11 15:40:45
更新时间:
2025-11-11 16:00:15
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2025-58362 2025-11-11 15:23:30 2025-11-11 07:40:45
NVD nvd_CVE-2025-58362 2025-11-11 15:01:01 2025-11-11 07:48:32
CNNVD cnnvd_CNNVD-202509-938 2025-11-11 15:12:56 2025-11-11 08:00:15
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 16:00:15
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202509-938; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-202509-938
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:48:32
affected_products_count: 1 → 2; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • affected_products_count: 1 -> 2
  • data_sources: ['cve'] -> ['cve', 'nvd']