Hono v4.12.12 安全漏洞总结 版本信息:Hono v4.12.12 漏洞概述与影响范围: 1. Serve Static 中间件绕过 (Middleware bypass via repeated slashes in serveStatic) 影响范围:Serve Static middleware 描述:修复了路径规范化不一致的问题,防止通过重复斜杠 ( ) 绕过基于路由的中间件保护并访问受保护的静态文件。 修复:修复了路径规范化逻辑。 2. toSSG() 路径遍历漏洞 (Path traversal in toSSG()) 影响范围:Static Site Generation (toSSG) 描述:修复了路径遍历问题,防止构造的 值将文件写入配置的输出目录之外。 修复:修复了路径遍历漏洞。 3. IP Restriction 中间件 IPv4 映射 IPv6 地址匹配错误 (Incorrect IP matching in ipRestriction()) 影响范围:IP Restriction Middleware 描述:修复了对 IPv4 映射 IPv6 地址(例如 )的不当处理,防止允许/拒绝规则被绕过。 修复:修复了 IP 地址匹配逻辑。 4. setCookie() 等缺少 Cookie 名称验证 (Missing validation of cookie name on write path in setCookie()) 影响范围: , , (来自 ) 描述:修复了写入路径上缺少 Cookie 名称验证的问题,防止解析和序列化之间的处理不一致。 修复:增加了对 Cookie 名称的验证。 5. getCookie() 中 Cookie 名称处理的前缀绕过 (Non-breaking space prefix bypass in cookie name handling in getCookie()) 影响范围: (来自 ) 描述:修复了 Cookie 名称处理中的差异,防止攻击者控制的 Cookie 覆盖合法 Cookie 并绕过前缀保护。 修复:修复了 Cookie 名称处理逻辑。 修复方案: 强烈建议所有使用 Serve Static、Static Site Generation、Cookie 工具或 IP 限制中间件的用户升级到 v4.12.12** 版本。