Security vulnerability in the Hono dependency #28568
Description
Feature Summary
My pnpm audit --prod CI step started to fail after upgrading to Prisma v7
Use Cases & Problem Description
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ Hono Improper Authorization vulnerability │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ hono │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=1.1.0 <4.10.2 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=4.10.2 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>@prisma/client>prisma>@prisma/dev>hono │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-m732-5p4w-x69g │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate │ Hono has Body Limit Middleware Bypass │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ hono │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.9.7 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=4.9.7 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>@prisma/client>prisma>@prisma/dev>hono │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-92vj-g62v-jqhh │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate │ Hono vulnerable to Vary Header Injection leading to │
│ │ potential CORS Bypass │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ hono │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.10.3 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=4.10.3 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>@prisma/client>prisma>@prisma/dev>hono │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-q7jf-gf43-6x6p │
└─────────────────────┴────────────────────────────────────────────────────────┘
Proposed Solution
Bump the hono dependency version
Alternative Solutions
Potential Considerations
No response
Prisma Version
7.0.0
What part of Prisma does this affect?
Prisma Client
Additional Context
No response
Pre-Submission Checklist
- I have searched existing issues to make sure this is not a duplicate
- I have checked the Prisma roadmap to see if this is already planned
- I have described why this belongs in Prisma Core rather than a solution in application code