CVE-2026-44457

Nome do Software Vulnerável e Versões Afetadas Hono versões anteriores a 4.12.18

Descrição O Cache Middleware não ignora o cache para respostas que declaram variação por usuário através dos cabeçalhos Vary: Authorization ou Vary: Cookie. Embora o middleware ignore corretamente o cache para Vary: *, Set-Cookie e diretivas específicas de Cache-Control como private, no-store ou no-cache, ele não reconhece Vary: Authorization e Vary: Cookie como motivos para evitar o cache. Isso ocorre quando as aplicações utilizam o Cache Middleware em endpoints que retornam dados específicos do usuário e dependem desses cabeçalhos para delimitar as respostas sem também definir Cache-Control: private. Consequentemente, uma resposta armazenada em cache para um usuário autenticado pode ser servida para solicitações subsequentes de usuários diferentes, levando potencialmente à exposição de informações de identificação pessoal ou outros dados específicos do usuário.

Recomendações Atualize para a versão 4.12.18. Como medida paliativa temporária, certifique-se de que os endpoints que retornam dados específicos do usuário definam o cabeçalho Cache-Control: private para evitar o cache incorreto.