CVE-2024-23340

@hono/node-server, versões 1.3.0 a 1.4.0

O problema decorre do comportamento do campo url no objeto Request do @hono/node-server, que não resolve os “dois pontos” (..) nas URLs, o que pode levar a vulnerabilidades ao usar serveStatic. Esse comportamento difere da API padrão, na qual URLs contendo .. são resolvidas para seu caminho real. Por exemplo, http://localhost/static/.. /foo.txt é retornado em vez de ser resolvido para http://localhost/foo.txt. Esse problema pode não afetar usuários que acessam o aplicativo por meio de navegadores web modernos ou do comando curl mais recente, já que essas ferramentas resolvem os dois pontos no lado do cliente. No entanto, podem ocorrer problemas se o aplicativo for acessado por um cliente que não resolva os dois pontos.

Para as versões 1.3.0 a 1.4.0, atualize para a versão 1.4.1, que inclui a correção para este problema.

Como solução alternativa temporária para as versões afetadas, não use serveStatic.