Hono — это платформа веб-приложений, обеспечивающая поддержку любой среды выполнения JavaScript. В версиях 4.12.0 и 4.12.1 при использовании адаптера AWS Lambda (hono/aws-lambda) за балансировщиком нагрузки приложений (ALB) функция getConnInfo() неправильно выбирала первое значение из заголовка X-Forwarded-For. Поскольку AWS ALB добавляет реальный IP-адрес клиента в конец заголовка X-Forwarded-For, первое значение может контролироваться злоумышленником.
Это может позволить обойти механизмы контроля доступа на основе IP (такие как промежуточное программное обеспечение ipRestriction). Версия 4.12.2 исправляет проблему.
Показать оригинальное описание (EN)
Hono is a Web application framework that provides support for any JavaScript runtime. In versions 4.12.0 and 4.12.1, when using the AWS Lambda adapter (`hono/aws-lambda`) behind an Application Load Balancer (ALB), the `getConnInfo()` function incorrectly selected the first value from the `X-Forwarded-For` header. Because AWS ALB appends the real client IP address to the end of the `X-Forwarded-For` header, the first value can be attacker-controlled. This could allow IP-based access control mechanisms (such as the `ipRestriction` middleware) to be bypassed. Version 4.12.2 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1