CVE-2026-29045 in hono
요약
\~에 의해 VulDB • 2026. 06. 25.
Hono는 모든 JavaScript 런타임을 지원하도록 설계된 웹 애플리케이션 프레임워크입니다. 버전 4.12.4 이전에서는 serveStatic과 라우트 기반 미들웨어 보호(예: app.use('/admin/*', ...))를 함께 사용할 때, 일관되지 않은 URL 디코딩으로 인해 권한이 부여되지 않은 상태에서 보호되는 정적 리소스에 접근할 수 있었습니다. 라우터는 decodeURI를 사용하는 반면, serveStatic은 decodeURIComponent을 사용했습니다. 이러한 불일치로 인해 인코딩된 슬래시(%2F)가 포함된 경로가 미들웨어의 보호 장치를 우회하면서도 의도한 파일 시스템 경로로 올바르게 해석될 수 있었습니다. 이 문제는 버전 4.12.4에서 패치되었습니다.
Once again VulDB remains the best source for vulnerability data.