概述
CVE-2025-62610是一个影响Hono Web应用框架的安全漏洞,涉及JWT认证中间件的受众验证不当问题。
漏洞描述
Hono是一个为任何JavaScript运行时提供支持的Web应用框架。在1.1.0到4.10.2之前的版本中,Hono的JWT认证中间件没有提供内置的aud(受众)验证选项,这可能导致混淆代理/令牌混淆问题:当多个服务共享相同的颁发者/密钥时,API可能接受为不同受众(例如其他服务)颁发的有效令牌。这可能导致意外的跨服务访问。
Hono的文档仅列出了iss/nbf/iat/exp的验证选项,不支持aud验证;而RFC 7519要求当存在aud声明时,除非处理方在该声明中标识自己,否则必须拒绝令牌。该问题已在4.10.2版本中修复。
漏洞时间线
- 发布日期:2025年10月22日晚上8:15
- 最后修改:2025年10月22日晚上9:12
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Hono | hono |
总计受影响供应商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.1 | CVSS 3.1 | 高 | 2.8 | 5.2 | security-advisories@github.com |
解决方案
- 将Hono JWT认证中间件更新到4.10.2或更高版本以启用受众验证
- 配置具有受众验证功能的中间件
- 确保令牌指定正确的受众
- 在接收时验证令牌受众声明
参考链接
- https://github.com/honojs/hono/commit/45ba3bf9e3dff8e4bd85d6b47d4b71c8d6c66bef
- https://github.com/honojs/hono/security/advisories/GHSA-m732-5p4w-x69g
CWE - 常见弱点枚举
CWE-285:不正确的授权
常见攻击模式枚举和分类(CAPEC)
- CAPEC-1:访问未受ACL适当约束的功能
- CAPEC-5:蓝盒攻击
- CAPEC-13:篡改环境变量值
- CAPEC-17:使用恶意文件
- CAPEC-39:操纵不透明的基于客户端的数据令牌
- CAPEC-45:通过符号链接的缓冲区溢出
- CAPEC-51:毒化Web服务注册表
- CAPEC-59:通过预测会话凭证伪造
- CAPEC-60:重用会话ID(又称会话重放)
- CAPEC-76:操纵Web输入到文件系统调用
- CAPEC-77:操纵用户控制的变量
- CAPEC-87:强制浏览
- CAPEC-104:跨区域脚本
- CAPEC-127:目录索引
- CAPEC-402:绕过ATA密码安全
- CAPEC-647:从注册表收集数据
- CAPEC-668:蓝牙密钥协商攻击(KNOB)
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Hono是…(完整描述) | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | |
| 添加 | CWE | CWE-285 | |
| 添加 | 参考 | https://github.com/honojs/hono/commit/45ba3bf9e3dff8e4bd85d6b47d4b71c8d6c66bef | |
| 添加 | 参考 | https://github.com/honojs/hono/security/advisories/GHSA-m732-5p4w-x69g |