IPBUF安全漏洞报告
English
CVE-2026-39406 CVSS 5.3 中危

CVE-2026-39406 @hono/node-server授权绕过漏洞

披露日期: 2026-04-08
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-39406
漏洞类型
授权绕过
CVSS评分
5.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
@hono/node-server

相关标签

授权绕过路径遍历@hono/node-serverWeb安全CVE-2026-39406

漏洞概述

@hono/node-server在1.19.13之前的版本中存在路径处理逻辑缺陷,导致授权绕过漏洞。由于serveStatic组件与路由中间件对包含双斜杠(//)的请求路径处理方式不一致,攻击者可构造特殊路径绕过基于路由的授权检查(如/admin/*),直接访问受保护的静态资源。建议用户尽快升级至安全版本以修复此风险。

技术细节

该漏洞源于Hono的路由匹配机制与`serveStatic`文件服务机制之间的路径规范化差异。在Node.js环境下,开发者常使用基于路由的中间件(例如`app.use('/admin/*', authMiddleware)`)来保护静态资源。然而,在受影响版本中,Hono的路由器对路径格式较为敏感,可能未将包含连续斜杠(如`//`)的路径视为有效匹配;与此同时,底层的`serveStatic`函数在解析文件系统路径时,会对连续斜杠进行规范化处理(即`//`被解析为`/`)。这种不一致性使得攻击者可以构造特殊请求路径,例如`http://target//admin/secret.txt`。该请求能够绕过路由层的授权中间件检查,因为路由器认为路径不匹配,但随后`serveStatic`成功将其解析为合法的文件路径并返回内容,导致安全防护失效,敏感数据泄露。

攻击链分析

STEP 1
1. 信息收集
攻击者识别目标应用使用 @hono/node-server,并发现存在受保护的静态资源路径(如 /admin/)。
STEP 2
2. 漏洞探测
攻击者尝试在受保护路径前插入双斜杠(//),例如请求 //admin/config.json,观察响应差异。
STEP 3
3. 绕过防护
由于路由器未匹配到包含双斜杠的路径,授权中间件被跳过,但 serveStatic 成功解析并返回文件。
STEP 4
4. 数据获取
攻击者成功下载或查看原本受保护的敏感静态文件,导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// PoC for CVE-2026-39406: Bypassing route-based middleware in @hono/node-server // This script demonstrates how repeated slashes allow accessing protected files. const { Hono } = require('hono'); const { serveStatic } = require('@hono/node-server'); const { serve } = require('@hono/node-server'); const app = new Hono(); // Simulated protected route middleware (e.g., /admin/*) app.use('/admin/*', async (c, next) => { console.log(`[Auth Middleware] Checking access for path: ${c.req.path}`); // In a real scenario, this would check cookies/headers return c.text('Access Denied: Authentication Required', 403); }); // Serve static files from a 'public' directory app.use('/admin/*', serveStatic({ root: './public' })); // Setup vulnerable server const server = serve({ fetch: app.fetch, port: 3000 }); console.log('Server running on http://localhost:3000'); console.log('Try accessing: http://localhost:3000//admin/secret.txt');

影响范围

@hono/node-server < 1.19.13

防御指南

临时缓解措施
如果无法立即升级,建议在反向代理(如Nginx)或应用网关层面对传入请求进行路径标准化处理,自动移除多余的斜杠,确保请求路径在到达Hono应用前已被规范化,从而消除利用条件。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表