CVE-2026-44458

Nome do Software Vulnerável e Versões Afetadas Hono versões anteriores a 4.12.18

Descrição O renderizador JSX escapa valores de objeto do atributo style para HTML, mas não para CSS. Quando entradas não confiáveis são interpoladas em um objeto style JSX e renderizadas no servidor, caracteres que atuam como delimitadores de declaração CSS — como ;, marcadores de comentário, strings entre aspas e delimitadores de bloco — podem ser usados para injetar declarações CSS adicionais no atributo style renderizado. Isso permite que um invasor controle o valor ou o nome da propriedade de um objeto style, podendo levar à manipulação visual da página (incluindo sobreposições de tela cheia para phishing), solicitações externas para hosts controlados pelo invasor via referências de recursos CSS como url(...) e sequestro de recursos da interface do usuário por meio de alterações de layout, posicionamento ou visibilidade. O impacto é limitado ao CSS e não permite a execução de JavaScript ou a quebra de atributos HTML.

Recomendações Atualizar para a versão 4.12.18.