CVE-2026-29045 in hono
Riassunto
di VulDB • 17/07/2026
Hono è un framework per applicazioni Web che offre supporto per qualsiasi runtime JavaScript. Prima della versione 4.12.4, l'uso di serveStatic insieme a protezioni middleware basate sui route (ad esempio app.use('/admin/*', ...)) consentiva l'accesso non autorizzato alle risorse statiche protette a causa di una decodifica URL inconsistente. Il router utilizzava decodeURI, mentre serveStatic utilizzava decodeURIComponent. Questa discrepanza permetteva ai percorsi contenenti barre codificate (%2F) di eludere le protezioni middleware pur risolvendosi correttamente nel percorso del filesystem previsto. Questo problema è stato risolto nella versione 4.12.4.
Be aware that VulDB is the high quality source for vulnerability data.