概述
CVE-2025-62610是一个影响Hono Web框架的安全漏洞,涉及JWT(JSON Web Tokens)认证中间件的授权问题。
漏洞描述
Hono是一个为任何JavaScript运行时提供支持的Web应用程序框架。在1.1.0到4.10.2之前的版本中,Hono的JWT认证中间件没有提供内置的aud(受众)验证选项,这可能导致混淆代理/令牌混淆问题:当多个服务共享相同的颁发者/密钥时,API可能接受为不同受众(例如其他服务)颁发的有效令牌。这可能导致意外的跨服务访问。
Hono的文档仅列出了iss/nbf/iat/exp的验证选项,不支持aud验证;而RFC 7519要求当存在aud声明时,除非处理方在该声明中标识自己,否则必须拒绝令牌。此问题已在4.10.2版本中修复。
漏洞时间线
- 发布日期:2025年10月22日晚上8:15
- 最后修改:2025年10月22日晚上9:12
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品。
CVSS评分
CVSS 3.1评分:8.1(高危)
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 影响范围:未更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:无
解决方案
- 将Hono JWT认证中间件更新到4.10.2或更高版本以启用受众验证
- 配置具有受众验证功能的中间件
- 确保令牌指定正确的受众
- 在接受时验证令牌受众声明
参考链接
- https://github.com/honojs/hono/commit/45ba3bf9e3dff8e4bd85d6b47d4b71c8d6c66bef
- https://github.com/honojs/hono/security/advisories/GHSA-m732-5p4w-x69g
CWE关联
CWE-285:不正确的授权
相关攻击模式(CAPEC)
- CAPEC-1:访问ACL未正确约束的功能
- CAPEC-39:操纵不透明的基于客户端的数据令牌
- CAPEC-59:通过预测会话凭证伪造
- CAPEC-60:重用会话ID(又称会话重放)
- CAPEC-77:操作用户控制的变量
漏洞历史记录
2025年10月22日 - 收到来自security-advisories@github.com的新CVE
| 操作类型 | 更改内容 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | Hono是…此问题已在4.10.2版本中修复 |
| 新增 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
| 新增 | CWE | - | CWE-285 |
| 新增 | 参考链接 | - | GitHub提交和安全公告链接 |