Vulnerability Details CVE-2026-59896
Hono is a Web application framework that provides support for any JavaScript runtime. From 4.11.8 before 4.12.27, hono/jsx did not isolate context values per request during server-side rendering, allowing createContext, useContext, jsxRenderer, or useRequestContext data from a different in-flight request to be used after an await in an async component. This issue is fixed in version 4.12.27.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.002
EPSS Ranking 8.9%
CVSS Severity
CVSS v3 Score 6.5
Products affected by CVE-2026-59896
-
cpe:2.3:a:hono:hono:4.11.10
-
cpe:2.3:a:hono:hono:4.11.8
-
cpe:2.3:a:hono:hono:4.11.9
-
cpe:2.3:a:hono:hono:4.12.0
-
cpe:2.3:a:hono:hono:4.12.1
-
cpe:2.3:a:hono:hono:4.12.10
-
cpe:2.3:a:hono:hono:4.12.11
-
cpe:2.3:a:hono:hono:4.12.12
-
cpe:2.3:a:hono:hono:4.12.13
-
cpe:2.3:a:hono:hono:4.12.14
-
cpe:2.3:a:hono:hono:4.12.15
-
cpe:2.3:a:hono:hono:4.12.16
-
cpe:2.3:a:hono:hono:4.12.17
-
cpe:2.3:a:hono:hono:4.12.18
-
cpe:2.3:a:hono:hono:4.12.19
-
cpe:2.3:a:hono:hono:4.12.2
-
cpe:2.3:a:hono:hono:4.12.20
-
cpe:2.3:a:hono:hono:4.12.21
-
cpe:2.3:a:hono:hono:4.12.22
-
cpe:2.3:a:hono:hono:4.12.23
-
cpe:2.3:a:hono:hono:4.12.24
-
cpe:2.3:a:hono:hono:4.12.25
-
cpe:2.3:a:hono:hono:4.12.26
-
cpe:2.3:a:hono:hono:4.12.3
-
cpe:2.3:a:hono:hono:4.12.4
-
cpe:2.3:a:hono:hono:4.12.5
-
cpe:2.3:a:hono:hono:4.12.6
-
cpe:2.3:a:hono:hono:4.12.7
-
cpe:2.3:a:hono:hono:4.12.8
-
cpe:2.3:a:hono:hono:4.12.9