CVE-2026-29045 in hono
Resumen
por VulDB • 2026-06-18
Hono es un framework de aplicaciones web que proporciona soporte para cualquier entorno de ejecución de JavaScript. Antes de la versión 4.12.4, al utilizar `serveStatic` junto con protecciones de middleware basadas en rutas (por ejemplo, `app.use('/admin/*', ...)`), una decodificación de URL inconsistente permitía acceder a recursos estáticos protegidos sin autorización. El enrutador utilizaba `decodeURI`, mientras que `serveStatic` utilizaba `decodeURIComponent`. Esta discrepancia permitía que las rutas que contenían barras codificadas (%2F) eludieran las protecciones del middleware sin dejar de resolverse en la ruta de sistema de archivos prevista. Este problema ha sido corregido en la versión 4.12.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.