关键漏洞信息 安全发布 v4.11.7包含了对Hono和相关中间件中多个漏洞的安全修复。 漏洞详情 1. IP访问限制中间件 漏洞描述: 修复了IPv4地址验证绕过的漏洞,允许在某些配置下绕过基于IP的访问控制。 CVE编号: CVE-2026-24398 GHSA编号: GHSA-r354-f388-2fhh 2. 缓存中间件 漏洞描述: 修复了带有 或 标头的响应仍可能被缓存的问题,可能导致信息泄露。 CVE编号: CVE-2026-24472 GHSA编号: GHSA-6wqw-2p9w-4vw4 3. 静态文件服务中间件(Cloudflare Workers适配器) 漏洞描述: 修复了当使用用户控制的路径时,可能允许对内部资产键进行非预期访问的漏洞。 CVE编号: CVE-2026-24473 GHSA编号: GHSA-w332-q679-j88p 4. hono/jsx ErrorBoundary 漏洞描述: 修复了ErrorBoundary组件中可能发生的反射型跨站脚本(XSS)问题,当未正确转义的不可信字符串被渲染时可能会出现此问题。 CVE编号: 待定 GHSA编号: GHSA-9r54-q6cx-xmh5 ``` 推荐措施 如果使用了上述任意中间件或组件,强烈建议升级到此版本。特别是: - 使用IP访问限制中间件的用户。 - 在Deno、Bun或Node.js上使用缓存中间件的用户。 - 在Cloudflare Workers上使用用户控制路径的静态文件服务中间件的用户。 - 在ErrorBoundary组件中渲染不可信数据的用户。