CVE-2026-29086

Nome do Software Vulnerável e Versões Afetadas Versões do Hono anteriores a 4.12.4

Descrição O utilitário setCookie() não validava corretamente ponto e vírgula (;), retornos de carro (r) ou caracteres de nova linha ( ) nas opções domain e path ao criar o cabeçalho Set-Cookie. Como os atributos do cookie são separados por ponto e vírgula, isso poderia permitir que um atacante injetasse atributos adicionais do cookie caso seja utilizada entrada não confiável nesses campos. O problema decorre da interpolação das opções domain e path sem rejeitar caracteres inseguros. Incluir caracteres como ;, r ou poderia resultar na adição de atributos de cookie não intencionais ao cabeçalho, potencialmente afetando o escopo do cookie ou a segurança. A exploração requer a má utilização das opções de cookie no nível do aplicativo.

Recomendações Atualize para a versão 4.12.4 ou posterior.