Vulnerabilidad en hono de honojs (CVE-2026-22818)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/01/2026

Última modificación:

20/01/2026

Descripción

Hono es un framework de aplicación web que proporciona soporte para cualquier entorno de ejecución de JavaScript. Antes de la versión 4.11.4, existe una falla en el middleware de verificación JWT de JWK/JWKS de Hono que permitía que el algoritmo especificado en la cabecera JWT influyera en la verificación de la firma cuando el JWK seleccionado no definía explícitamente un algoritmo. Esto podría habilitar la confusión de algoritmos JWT y, en ciertas configuraciones, permitir que se aceptaran tokens falsificados. El middleware de verificación JWT de JWK/JWKS ha sido actualizado para requerir una lista de permitidos explícita de algoritmos asimétricos al verificar tokens. El middleware ya no deriva el algoritmo de verificación de valores de cabecera JWT no confiables. Esta vulnerabilidad está corregida en la versión 4.11.4.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno