@hono/node-server allows running the Hono application on Node.js. Prior to version 1.19.10, when using @hono/node-server's static file serving together with route-based middleware protections (e.g. protecting /admin/*), inconsistent URL decoding can allow protected static resources to be accessed without authorization. In particular, paths containing encoded slashes (%2F) may be evaluated differently by routing/middleware matching versus static file path resolution, enabling a bypass where middleware does not run but the static file is still served. This issue has been patched in version 1.19.10.

@hono/node-server permite ejecutar la aplicación Hono en Node.js. Antes de la versión 1.19.10, al usar el servicio de archivos estáticos de @hono/node-server junto con protecciones de middleware basadas en rutas (por ejemplo, protegiendo /admin/*), una decodificación de URL inconsistente puede permitir que los recursos estáticos protegidos sean accedidos sin autorización. En particular, las rutas que contienen barras codificadas (%2F) pueden ser evaluadas de manera diferente por la coincidencia de enrutamiento/middleware frente a la resolución de rutas de archivos estáticos, lo que permite una omisión donde el middleware no se ejecuta pero el archivo estático aún es servido. Este problema ha sido parcheado en la versión 1.19.10.