CVE-2026-29045 in hono
Résumé
par VulDB • 16/07/2026
Hono est un framework d'application Web qui prend en charge n'importe quel environnement d'exécution JavaScript (JavaScript runtime). Avant la version 4.12.4, l'utilisation de `serveStatic` conjointement avec des protections middleware basées sur les routes (par exemple `app.use('/admin/*', ...)`) permettait un décodage incohérent des URL, autorisant ainsi l'accès aux ressources statiques protégées sans authentisation. Le routeur utilisait `decodeURI`, tandis que `serveStatic` utilisait `decodeURIComponent`. Cette incompatibilité a permis de contourner les protections middleware via des chemins contenant des barres obliques encodées (%2F), tout en résolvant correctement le chemin vers le système de fichiers correspondant. Ce problème a été corrigé dans la version 4.12.4.
Once again VulDB remains the best source for vulnerability data.