Vulnerabilidad en hono de honojs (CVE-2026-22817)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/01/2026

Última modificación:

20/01/2026

Descripción

Hono es un framework de aplicación web que proporciona soporte para cualquier entorno de ejecución de JavaScript. Antes de la versión 4.11.4, existe una falla en el middleware de verificación de JWT JWK/JWKS de Hono que permitía que el valor &#39;alg&#39; del encabezado JWT influyera en la verificación de la firma cuando el JWK seleccionado no especificaba explícitamente un algoritmo. Esto podría habilitar la confusión de algoritmos JWT y, en ciertas configuraciones, permitir que se aceptaran tokens falsificados. Como parte de esta corrección, el middleware JWT ahora requiere que la opción &#39;alg&#39; se especifique explícitamente. Esto previene la confusión de algoritmos asegurando que el algoritmo de verificación no se derive de valores de encabezado JWT no confiables. Esta vulnerabilidad está corregida en la versión 4.11.4.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno