CVE-2026-29085

Nome do Software Vulnerável e Versões Afetadas Versões do Hono anteriores a 4.12.4

Descrição O Hono é um framework de aplicação Web que suporta vários runtimes de JavaScript. Existe uma vulnerabilidade em que os campos event, id e retry dentro da função streamSSE() no Streaming Helper não eram devidamente validados para caracteres de retorno de carro (r) ou nova linha ( ). O protocolo Eventos Enviados pelo Servidor (SSE) utiliza quebras de linha para delimitar campos. Consequentemente, se entradas não confiáveis contendo esses caracteres forem fornecidas a esses campos, isso poderia permitir a injeção de campos SSE adicionais dentro do mesmo quadro de evento. O problema decorre do helper SSE construir quadros de evento unindo linhas com e, anteriormente, permitir valores brutos sem rejeitar caracteres CR/LF nos campos event, id e retry. Isso poderia levar à injeção de campos adicionais, como data:, id: ou retry:. Aplicações que renderizam e.data de maneira insegura, como ao utilizar innerHTML, podem ser vulneráveis à injeção de scripts do lado do cliente.

Recomendações Versões anteriores a 4.12.4 devem ser atualizadas para a versão 4.12.4 ou posterior.