Calloc134

**Nome do Software Vulnerável e Versões Afetadas** Versões do Hono anteriores a 4.11.4 **Descrição** O Hono é um framework de aplicação web que suporta vários runtimes JavaScript. Existe uma vulnerabilidade no middleware de verificação JWT ao utilizar JWK/JWKS, na qual o valor `alg` no cabeçalho JWT poderia influenciar a verificação da assinatura mesmo que o JWK selecionado não definisse explicitamente um algoritmo. Isso poderia levar à confusão de algoritmo JWT, potencialmente permitindo que tokens falsificados sejam aceitos. A correção envolve exigir que a opção `alg` seja especificada explicitamente no middleware JWT, impedindo o uso de valores não confiáveis do cabeçalho JWT para determinar o algoritmo de verificação. **Recomendações** Atualize para a versão 4.11.4 do Hono ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Hono anteriores a 4.11.4 **Descrição** O Hono é um framework de aplicação web que suporta vários runtimes JavaScript. Existe uma falha no middleware de verificação JWT JWK/JWKS em que o algoritmo especificado no cabeçalho JWT poderia influenciar a verificação da assinatura quando o JWK selecionado não definia explicitamente um algoritmo. Isso poderia levar à confusão de algoritmo JWT, permitindo potencialmente que tokens forjados fossem aceitos. O middleware foi atualizado para exigir uma lista de permissão explícita de algoritmos assimétricos para verificação de token, impedindo a derivação do algoritmo de verificação a partir de valores não confiáveis do cabeçalho JWT. **Recomendações** Atualize para a versão 4.11.4 do Hono ou posterior.