Techfish-11

**Nome do Software Vulnerável e Versões Afetadas** Versões do Hono anteriores à 4.12.4 **Descrição** O Hono é um framework de aplicações web que oferece suporte a vários runtimes JavaScript. Uma inconsistência na decodificação de URL entre o router (`decodeURI`) e o `serveStatic` (`decodeURIComponent`) permitiu que recursos estáticos protegidos fossem acessados sem autorização ao utilizar proteções de middleware baseadas em rota, como `app.use('/admin/*', ...)`. Especificamente, caminhos contendo barras codificadas (`%2F`) contornaram as proteções de middleware enquanto ainda resolviam para o caminho do sistema de arquivos pretendido. O router tratava `%2F` como uma string literal, enquanto o `serveStatic` o decodificava para `/` antes de resolver o caminho do arquivo. Este problema não permite acesso fora da raiz estática e não se trata de uma vulnerabilidade de path traversal. Um atacante não autenticado poderia contornar a autorização baseada em rota para recursos estáticos protegidos ao fornecer caminhos contendo barras codificadas. Isso afeta aplicações que protegem subcaminhos utilizando middleware baseado em rota e, simultaneamente, servem arquivos a partir da mesma raiz estática usando o `serveStatic`. **Recomendações** As versões anteriores à 4.12.4 devem ser atualizadas para a versão 4.12.4 ou posterior.