Hono JSX SSR CSS 注入漏洞:GHSA-qp7p-654g-cw7p / CVE-2026-44458
GitHub Advisory Database · 2026-05-09
Hono 的 JSX Server-Side Rendering 在處理 style 物件時存在 CSS 宣告注入漏洞,CVSS 評分 4.3(Moderate)。漏洞核心在於:框架對 style attribute value 僅做 HTML 跳脫,卻未處理 CSS 宣告邊界字元(;、comment marker、block delimiter),導致攻擊者可注入任意 CSS 宣告。
漏洞機制
Hono 將 style 物件序列化成 CSS declaration list 時,以 HTML attribute context 跳脫輸出值,但 CSS 邊界字元在 HTML attribute 中合法,可用來跳出預期的 property assignment。攻擊者控制 style 值或 property name 時,可插入額外的 CSS 宣告。利用此漏洞可達成:頁面佈局竄改、透過 CSS url() 函數觸發外部請求、UI 覆蓋釣魚攻擊。
受影響版本
- npm
hono<4.12.18
修補與緩解
升級至 hono@4.12.18。此漏洞需要攻擊者能控制傳入 JSX style prop 的內容,對接受不可信輸入並直接渲染的應用影響較大。漏洞不涉及 JavaScript 執行,但 CSS-based 攻擊面已足以構成實際威脅。
@profullstack/mcp-server domain_lookup 模組 OS Command Injection:GHSA-v6wj-c83f-v46x
GitHub Advisory Database · 2026-05-09
@profullstack/mcp-server 的 domain_lookup 模組存在 Critical 等級(CVSS 9.8)的 OS Command Injection,所有 ≤ 1.4.12 版本均受影響,且目前無修補版本釋出。
漏洞機制
漏洞位於 buildTldxCommand() 函數,直接將使用者傳入的 domains 與 keywords 參數字串拼接進 shell 命令,再交給 execAsync() 執行。由於未做任何輸入清理,;、|、$() 等 shell meta character 會被 shell 直接解讀。
兩個 HTTP 端點均可觸發:POST /domain-lookup/check 與 POST /domain-lookup/bulk,且服務器預設綁定 0.0.0.0,無任何身份驗證 middleware,遠端未認證攻擊者可直接利用。
受影響版本
- npm
@profullstack/mcp-server≤1.4.12(目前無修補版本)
修補與緩解
目前無官方修補版本。建議立即停用 domain_lookup 功能,或在網路層限制服務存取,避免將此 MCP server 暴露於不受信任的網路環境。
Vert.x SNI SslContext 快取無上限引發 DoS:CVE-2026-6860
GitHub Advisory Database · 2026-05-09
Vert.x Core 的伺服器端 SNI(Server Name Indication)處理存在 Moderate 等級(CVSS 6.9)的 Denial of Service 漏洞(CVE-2026-6860,GHSA-3g76-f9xq-8vp6)。核心問題是 SNI-keyed SslContext 快取沒有任何容量上限、TTL 或淘汰機制。
漏洞機制
TLS 連線建立時,Vert.x 以 computeIfAbsent(serverName, ...) 為每個匹配到的 SNI hostname 建立 SslContext 並永久保留在記憶體中。攻擊者只需傳送大量不同 SNI hostname 的 TLS 連線(符合 wildcard 或廣域 hostname mapping),即可不斷建立新的 SslContext 條目,使記憶體線性成長直到服務崩潰。PoC 測試顯示:發送 20 個唯一 SNI 後快取有 20 筆,40 個後有 40 筆,無任何清理機制。
受影響版本
io.vertx:vertx-core4.3.4–4.3.8- 4.4.0–4.4.9
- 4.5.0–4.5.25
- 5.0.0–5.0.8
修補與緩解
目前 Advisory 尚未列出修補版本,建議追蹤 Vert.x 官方 issue tracker 或在應用層限制 TLS SNI 可接受的 hostname 範圍,縮小攻擊面。