Katalog CVE

CVE-2026-54286

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

W frameworku Hono przed wersją 4.12.25 na systemach Windows odkryto podatność polegającą na dekodowaniu zakodowanego backslasha (%5C) w ścieżce żądania. Powoduje to, że serwer traktuje go jako separator ścieżki, co umożliwia atakującemu odczytanie plików statycznych chronionych przez middleware.

Ocena ryzyka

Atakujący może ominąć zabezpieczenia middleware i uzyskać dostęp do poufnych plików statycznych, takich jak konfiguracyjne lub dane uwierzytelniające, co prowadzi do wycieku informacji.

Rekomendacja

Należy natychmiast zaktualizować framework Hono do wersji 4.12.25 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.25, on Windows hosts, an encoded backslash (%5C) in the request path decodes to \, which the Windows path resolver treats as a separator. serve-static then resolves a single URL segment such as admin\secret.txt into a nested file under the root and serves it, letting an attacker read static files meant to be protected behind prefix-mounted middleware. This vulnerability is fixed in 4.12.25.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS