CVE-2026-54286
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
W frameworku Hono przed wersją 4.12.25 na systemach Windows odkryto podatność polegającą na dekodowaniu zakodowanego backslasha (%5C) w ścieżce żądania. Powoduje to, że serwer traktuje go jako separator ścieżki, co umożliwia atakującemu odczytanie plików statycznych chronionych przez middleware.
Ocena ryzyka
Atakujący może ominąć zabezpieczenia middleware i uzyskać dostęp do poufnych plików statycznych, takich jak konfiguracyjne lub dane uwierzytelniające, co prowadzi do wycieku informacji.
Rekomendacja
Należy natychmiast zaktualizować framework Hono do wersji 4.12.25 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Hono is a Web application framework that provides support for any JavaScript runtime. Prior to 4.12.25, on Windows hosts, an encoded backslash (%5C) in the request path decodes to \, which the Windows path resolver treats as a separator. serve-static then resolves a single URL segment such as admin\secret.txt into a nested file under the root and serves it, letting an attacker read static files meant to be protected behind prefix-mounted middleware. This vulnerability is fixed in 4.12.25.

