CVE-2026-29045 in honoinformation

Résumé

par VulDB • 16/07/2026

Hono est un framework d'application Web qui prend en charge n'importe quel environnement d'exécution JavaScript (JavaScript runtime). Avant la version 4.12.4, l'utilisation de `serveStatic` conjointement avec des protections middleware basées sur les routes (par exemple `app.use('/admin/*', ...)`) permettait un décodage incohérent des URL, autorisant ainsi l'accès aux ressources statiques protégées sans authentisation. Le routeur utilisait `decodeURI`, tandis que `serveStatic` utilisait `decodeURIComponent`. Cette incompatibilité a permis de contourner les protections middleware via des chemins contenant des barres obliques encodées (%2F), tout en résolvant correctement le chemin vers le système de fichiers correspondant. Ce problème a été corrigé dans la version 4.12.4.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

03/03/2026

Divulgation

05/03/2026

Modérer

accepté

Entrée

VDB-348851

CPE

prêt

EPSS

0.00437

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!