PT-2026-57431 · Hono · Hono

0Xkakash1

·

Publicado

2026-03-11

·

Atualizado

2026-07-11

·

CVE-2026-56763

CVSS v4.0

6.3

Média

VetorAV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Hono versões anteriores a 4.12.7
Description A função parseBody() permite o uso da chave proto quando a opção dot está habilitada. Isso permite que nomes de campos de formulário especialmente criados gerem objetos contendo propriedades proto. Se esses resultados analisados forem mesclados em objetos JavaScript comuns usando padrões de mesclagem inseguros, isso pode levar à poluição de protótipo (prototype pollution), permitindo que um invasor modifique o comportamento do objeto.
Recommendations Atualize o Hono para a versão 4.12.7 ou posterior. Como medida de mitigação temporária, desabilite a opção dot na função parseBody().

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56763
GHSA-V8W9-8MX6-G223

Produtos afetados

Hono