CVE-2026-27959 in koainfo

Zusammenfassung

von VulDB • 13.05.2026

Koa ist eine Middleware für Node.js, die ES2017-Async-Funktionen verwendet. Vor den Versionen 3.1.2 und 2.16.4 führt die `ctx.hostname`-API von Koa eine naive Analyse des HTTP-Host-Headers durch, indem sie alles vor dem ersten Doppelpunkt extrahiert, ohne zu überprüfen, ob die Eingabe der RFC-3986-Syntax für Hostnamen entspricht. Wenn ein fehlerhafter Host-Header mit einem `@`-Symbol empfangen wird, gibt `ctx.hostname` `evil[.]com` zurück – einen vom Angreifer kontrollierten Wert. Anwendungen, die `ctx.hostname` zur URL-Generierung, für Passwortzurücksetzungslinks, E-Mail-Verifizierungs-URLs oder Routing-Entscheidungen verwenden, sind anfällig für Host-Header-Injection-Angriffe. Die Versionen 3.1.2 und 2.16.4 beheben das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

25.02.2026

Veröffentlichung

26.02.2026

Moderieren

akzeptiert

Eintrag

VDB-347945

CPE

bereit

EPSS

0.00125

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-27959
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-27959
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-27959/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!