つみかさね

CVE-2026-29045

High(7.5)

CVE-2026-29045 — Hono serveStatic認可バイパス

公開日: 2026-03-07データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Honohonojs< 4.12.4

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1影響を受けるバージョンを使用しているか確認
  2. 2修正バージョンへのアップデートまたはパッチ適用
  3. 3アップデート不可の場合は回避策の検討・適用

影響対象

Hono
CVEHono認可バイパスJavaScript

概要

JavaScript/TypeScript Webフレームワーク Hono の 4.12.4 未満において、serveStatic とルートベースのミドルウェア保護(例: app.use('/admin/*', ...) )を併用する場合、URLデコード処理の不一致により保護された静的リソースに認可なしでアクセスできます。

ルーターは decodeURI を使用し、serveStatic は decodeURIComponent を使用しているため、エンコードされたスラッシュ(%2F)を含むパスでミドルウェア保護をバイパスしつつ、静的ファイルの解決に成功します。

CVSSベクトル

項目
CVSSスコア7.5 (High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権なし
ユーザー関与なし

影響を受けるソフトウェア

製品ベンダー影響バージョン
Honohonojs< 4.12.4

修正バージョンと回避策

  • 修正版: Hono 4.12.4 へのアップデート
  • serveStatic とミドルウェアによる認可制御を併用している場合は早急に確認を推奨

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-29045
GHSA:https://github.com/honojs/hono/security/advisories/GHSA-q5qw-h33p-qvwr
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。