CVE-2026-29045 in hono
要約
〜によって VulDB • 2026年06月20日
Honoは、あらゆるJavaScriptランタイムをサポートするWebアプリケーションフレームワークです。バージョン4.12.4より前では、serveStaticとルートベースのミドルウェア保護(例:app.use('/admin/*', ...))を併用した場合、URLデコードの一貫性の欠如により、保護された静的リソースへの認証なしでのアクセスが可能でした。ルーターはdecodeURIを使用していたのに対し、serveStaticはdecodeURIComponentを使用していました。この不一致により、エンコードされたスラッシュ(%2F)を含むパスが、意図したファイルシステムパスに解決されながら、ミドルウェアの保護を回避することができました。この問題はバージョン4.12.4で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.