VDB-343100 · CVE-2026-24472 · WID-SEC-2026-0574

honojs hono bis 4.11.6 HTTP Cache Control Information Disclosure

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
5.2	$0-$5k	0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in honojs hono bis 4.11.6 entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Komponente HTTP Cache Control Handler. Durch die Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2026-24472 geführt. Der Angriff kann über das Netzwerk passieren. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Eine problematische Schwachstelle wurde in honojs hono bis 4.11.6 entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente HTTP Cache Control Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-524. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:

Hono is a Web application framework that provides support for any JavaScript runtime. Prior to version 4.11.7, Cache Middleware contains an information disclosure vulnerability caused by improper handling of HTTP cache control directives. The middleware does not respect standard cache control headers such as `Cache-Control: private` or `Cache-Control: no-store`, which may result in private or authenticated responses being cached and subsequently exposed to unauthorized users. Version 4.11.7 has a patch for the issue.

Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 23.01.2026 als CVE-2026-24472 statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.

Ein Upgrade auf die Version 4.11.7 vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CERT Bund (WID-SEC-2026-0574) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Betroffen

IBM App Connect Enterprise

Produktinfo

Hersteller

honojs

Name

hono

Version

Webseite

Produkt: https://github.com/honojs/hono/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.2

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 5.3
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-524
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: hono 4.11.7

Timelineinfo

23.01.2026 CVE zugewiesen
27.01.2026 +4 Tage Advisory veröffentlicht
27.01.2026 +0 Tage VulDB Eintrag erstellt
03.03.2026 +35 Tage VulDB Eintrag letzte Aktualisierung