Yusukebe

**Nome do software vulnerável e versões afetadas** Versões do @hono/node-server anteriores à 1.10.1 **Descrição** O aplicativo trava ao receber um cabeçalho Host com um valor que o `@hono/node-server` não consegue processar corretamente. Valores inválidos são aqueles que não podem ser analisados pela `URL` como um nome de host, tais como uma string vazia, barras `/` e outras strings. **Recomendações** Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 ou posterior para resolver o problema. Recomenda-se usar a versão 1.11.0, que inclui correções adicionais relacionadas a este problema.

**Nome do software vulnerável e versões afetadas** @hono/node-server, versões 1.3.0 a 1.4.0 **Descrição** O problema decorre do comportamento do campo `url` no objeto Request do @hono/node-server, que não resolve os “dois pontos” (`..`) nas URLs, o que pode levar a vulnerabilidades ao usar `serveStatic`. Esse comportamento difere da API padrão, na qual URLs contendo `..` são resolvidas para seu caminho real. Por exemplo, `http://localhost/static/.. /foo.txt` é retornado em vez de ser resolvido para `http://localhost/foo.txt`. Esse problema pode não afetar usuários que acessam o aplicativo por meio de navegadores web modernos ou do comando `curl` mais recente, já que essas ferramentas resolvem os dois pontos no lado do cliente. No entanto, podem ocorrer problemas se o aplicativo for acessado por um cliente que não resolva os dois pontos. **Recomendações** Para as versões 1.3.0 a 1.4.0, atualize para a versão 1.4.1, que inclui a correção para este problema. Como solução alternativa temporária para as versões afetadas, não use `serveStatic`.

**Name of the Vulnerable Software and Affected Versions** Hono versions prior to 3.11.7 **Description** The issue allows clients to override named path parameter values from previous requests when the application is using TrieRouter. This poses a risk that a privileged user may use unintended parameters when deleting REST API resources. TrieRouter is used either explicitly or when the application matches a pattern that is not supported by the default RegExpRouter. **Recommendations** For versions prior to 3.11.7, update to version 3.11.7 to fix the issue. As a temporary workaround, avoid using TrieRouter directly.