CVE-2026-29045

Nome do Software Vulnerável e Versões Afetadas Versões do Hono anteriores à 4.12.4

Descrição O Hono é um framework de aplicações web que oferece suporte a vários runtimes JavaScript. Uma inconsistência na decodificação de URL entre o router (decodeURI) e o serveStatic (decodeURIComponent) permitiu que recursos estáticos protegidos fossem acessados sem autorização ao utilizar proteções de middleware baseadas em rota, como app.use('/admin/*', ...). Especificamente, caminhos contendo barras codificadas (%2F) contornaram as proteções de middleware enquanto ainda resolviam para o caminho do sistema de arquivos pretendido. O router tratava %2F como uma string literal, enquanto o serveStatic o decodificava para / antes de resolver o caminho do arquivo. Este problema não permite acesso fora da raiz estática e não se trata de uma vulnerabilidade de path traversal. Um atacante não autenticado poderia contornar a autorização baseada em rota para recursos estáticos protegidos ao fornecer caminhos contendo barras codificadas. Isso afeta aplicações que protegem subcaminhos utilizando middleware baseado em rota e, simultaneamente, servem arquivos a partir da mesma raiz estática usando o serveStatic.

Recomendações As versões anteriores à 4.12.4 devem ser atualizadas para a versão 4.12.4 ou posterior.