Hono 的命名路径参数可以在 TrieRouter 中被覆盖 (CVE-2023-50710)
CVE编号
CVE-2023-50710利用情况
暂无补丁情况
N/A披露时间
2023-12-15漏洞描述
Hono是一个使用TypeScript编写的Web框架。在3.11.7版本之前,如果应用程序使用了TrieRouter,客户端可以覆盖先前请求的命名路径参数值。因此,特权用户在删除REST API资源时存在使用非预期参数的风险。TrieRouter在应用程序匹配不受默认RegExpRouter支持的模式时被使用,或者显式地使用。版本3.11.7修复了这个问题。作为解决方法,避免直接使用TrieRouter。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 低
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-94 | 对生成代码的控制不恰当(代码注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论