CVE-2026-47676

Nome do Software Vulnerável e Versões Afetadas Hono versões anteriores a 4.12.21

Description Na função app.mount(), o prefixo de montagem é removido do caminho da requisição recebida utilizando o pathname da URL bruta, enquanto a correspondência de rota é realizada contra o caminho decodificado (percent-decoded). Essa inconsistência faz com que o prefixo seja removido na posição errada quando o caminho contém caracteres multi-byte codificados em percentual, resultando no recebimento de um caminho incorreto pela sub-aplicação montada.

Recommendations Atualize para a versão 4.12.21.