CVE-2026-44459

Nome do Software Vulnerável e Versões Afetadas Hono versões anteriores a 4.12.18

Descrição A validação inadequada das reivindicações JWT NumericDate exp, nbf e iat em hono/utils/jwt permite que tokens com valores de reivindicação não conformes com a especificação ignorem silenciosamente as verificações baseadas em tempo. Isso ocorre porque a rotina de validação combinou verificações de opção, presença e limite em uma única expressão de curto-circuito, fazendo com que valores malformados — como valores numéricos falsos, valores numéricos não finitos ou tipos não numéricos — fossem ignorados em vez de rejeitados. Isso diverge da RFC 7519 §4.1.4, que define NumericDate como um valor numérico JSON finito. O problema se manifesta quando um valor de reivindicação malformado atinge a função verify(), tipicamente quando a própria aplicação emite tais tokens ou quando a chave de assinatura está sob controle de um invasor. Isso pode resultar em tokens tratados como se nunca expirassem, tokens com um nbf (Not Before) futuro sendo aceitos como válidos ou tokens com um iat (Issued At) futuro sendo aceitos como emitidos legitimamente.

Recomendações Atualizar para a versão 4.12.18.