PT-2026-57431 · Hono · Hono
0Xkakash1
·
Publicado
2026-03-11
·
Atualizado
2026-07-11
·
CVE-2026-56763
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Hono versões anteriores a 4.12.7
Description
A função
parseBody() permite o uso da chave proto quando a opção dot está habilitada. Isso permite que nomes de campos de formulário especialmente criados gerem objetos contendo propriedades proto. Se esses resultados analisados forem mesclados em objetos JavaScript comuns usando padrões de mesclagem inseguros, isso pode levar à poluição de protótipo (prototype pollution), permitindo que um invasor modifique o comportamento do objeto.Recommendations
Atualize o Hono para a versão 4.12.7 ou posterior.
Como medida de mitigação temporária, desabilite a opção dot na função
parseBody().Exploit
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hono