CVE-2025-62610 in honoinfo

Zusammenfassung

von VulDB • 25.05.2026

Hono ist ein Webanwendungs-Framework, das Unterstützung für jede JavaScript-Laufzeitumgebung bietet. In den Versionen von 1.1.0 bis vor 4.10.2 bietet das JWT-Auth-Middleware von Hono keine integrierte Option zur Überprüfung des `aud`-Anspruchs (Audience), was zu Confused-Deputy- oder Token-Mix-up-Problemen führen kann: Eine API kann ein gültiges Token akzeptieren, das für eine andere Audience (z. B. einen anderen Dienst) ausgestellt wurde, wenn mehrere Dienste denselben Issuer/dieselben Schlüssel teilen. Dies kann zu unbeabsichtigtem Zugriff über Dienstgrenzen hinweg führen. In der Dokumentation von Hono werden nur Verifizierungsoptionen für `iss`/`nbf`/`iat`/`exp` aufgeführt, ohne Unterstützung für `aud`; RFC 7519 verlangt, dass Token abgelehnt werden müssen, wenn ein `aud`-Anspruch vorhanden ist, es sei denn, die verarbeitende Partei identifiziert sich in diesem Anspruch. Dieses Problem wurde in Version 4.10.2 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

16.10.2025

Veröffentlichung

22.10.2025

Moderieren

akzeptiert

Eintrag

VDB-329626

CPE

bereit

EPSS

0.00058

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-62610
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-62610
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-62610/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!