CVE-2026-22817

Nome do Software Vulnerável e Versões Afetadas Versões do Hono anteriores a 4.11.4

Descrição O Hono é um framework de aplicação web que suporta vários runtimes JavaScript. Existe uma vulnerabilidade no middleware de verificação JWT ao utilizar JWK/JWKS, na qual o valor alg no cabeçalho JWT poderia influenciar a verificação da assinatura mesmo que o JWK selecionado não definisse explicitamente um algoritmo. Isso poderia levar à confusão de algoritmo JWT, potencialmente permitindo que tokens falsificados sejam aceitos. A correção envolve exigir que a opção alg seja especificada explicitamente no middleware JWT, impedindo o uso de valores não confiáveis do cabeçalho JWT para determinar o algoritmo de verificação.

Recomendações Atualize para a versão 4.11.4 do Hono ou posterior.