CVE-2026-29087

Nome do Software Vulnerável e Versões Afetadas Versões do @hono/node-server anteriores a 1.19.10

Descrição O @hono/node-server permite executar a aplicação Hono no Node.js. Ao utilizar o serviço de arquivos estáticos com proteções de middleware baseadas em rotas, a decodificação inconsistente de URL pode permitir que recursos estáticos protegidos sejam acessados sem autorização. Caminhos contendo barras codificadas (%2F) podem ser avaliados de maneira diferente pela correspondência de roteamento/middleware em comparação com a resolução de caminho de arquivo estático, permitindo um contorno onde o middleware não é executado, mas o arquivo estático ainda é servido. A camada de roteamento preserva %2F como uma string literal ao correspondir rotas, enquanto o manipulador estático decodifica %2F para / antes de resolver o caminho do sistema de arquivos. Isso não permite acesso fora da raiz estática configurada e não se trata de uma vulnerabilidade de path traversal. Um atacante não autenticado poderia contornar as proteções de autorização baseadas em rotas para recursos estáticos protegidos fornecendo caminhos contendo barras codificadas. Aplicações que dependem exclusivamente de middleware baseado em rotas para proteger subcaminhos estáticos sob a mesma raiz estática podem ter exposto esses recursos.

Recomendações Versões anteriores a 1.19.10 devem ser atualizadas para a versão 1.19.10 ou posterior.