CVE-2026-44455

Nome do Software Vulnerável e Versões Afetadas Hono versões anteriores a 4.12.16

Descrição O manuseio inadequado de nomes de tags de elementos JSX no hono/jsx permite que nomes de tags não validados sejam inseridos diretamente na saída HTML gerada. Quando entradas não confiáveis são usadas como nome de tag por meio das funções programáticas jsx() ou createElement() durante a renderização no lado do servidor, valores especialmente criados podem romper o contexto do elemento pretendido e injetar HTML indesejado. Embora os valores dos atributos sejam escapados e os nomes dos atributos sejam validados, os nomes das tags dos elementos eram inseridos sem validação. Se um nome de tag contiver caracteres como <, >, aspas ou espaços em branco, poderá alterar a estrutura do HTML, introduzir elementos inesperados ou injetar atributos e manipuladores de eventos. Isso pode levar à corrupção da estrutura HTML ou Cross-site scripting (XSS), que é uma técnica onde scripts maliciosos são injetados em sites normalmente confiáveis.

Recomendações Atualize para a versão 4.12.16. Como medida paliativa temporária, evite usar entradas não confiáveis como nomes de tags nas funções jsx() ou createElement().