PT-2026-38319 · Hono · Hono
Publicado
2026-05-06
·
Atualizado
2026-05-18
·
CVE-2026-44456
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Hono versões anteriores a 4.12.16
Descrição
A função
bodyLimit() não impõe de forma confiável o parâmetro maxSize para solicitações que não possuem um Content-Length utilizável, como aquelas que utilizam Transfer-Encoding: chunked. Para essas solicitações, a função envolve o corpo em um fluxo que conta bytes de forma assíncrona e executa o manipulador antes que a decisão de tamanho seja finalizada. Isso permite que solicitações excessivamente grandes ignorem o limite e retornem um código de status 200 em vez de um código de status 413, caso o manipulador não leia o corpo, leia apenas os chunks iniciais ou suprima erros de leitura usando blocos try/catch.Recomendações
Atualizar para a versão 4.12.16.
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hono