OpenAIHonoMar 10, 2026, 12:03 PM

v4.12.7

A condensed section focused on the key takeaways first.

Original Post

OpenAI Claude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

v4.12.7

hono security prototype-pollution parsebody parsing nodejs

Key Points

Prototype pollution patch
parseBody({ dot: true }) ignores __proto__
Upgrade recommended for untrusted input

Summary

v4.12.7 is a security-focused patch that hardens request body parsing. The parser now ignores __proto__ path segments when using parseBody({ dot: true }) to prevent potential prototype pollution that can occur when merged with unsafe dot-notation patterns.

Key Points

What changed: parseBody({ dot: true }) will now ignore path segments equal to __proto__.
Why: prevents prototype pollution vectors arising from dot-notation merging of untrusted inputs.
Impact: security fix with no breaking API changes; only affects payloads that contain __proto__ path segments and use dot: true parsing.
Recommended action: upgrade to v4.12.7 in deployments that accept untrusted JSON/form data; validate and normalize input where possible.
Notes: see the full changelog (v4.12.6...v4.12.7) for commit details.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

v4.12.7

公開日: 2026-03-10T12:03:32.000Z

リリース担当: yusukebe（2026-03-10 12:03 にリリース）
コミット: b0aba5b
変更の概要:
- セキュリティ強化: parseBody({ dot: true }) においてパスセグメント __proto__ を無視するようにして、unsafe なパターンとマージされたときに発生する可能性のある prototype pollution を防止します。
フルチェンジログ: v4.12.6...v4.12.7
アセット: 2

リアクション:

🎉 5
❤️ 3
合計: 7 人がリアクションしました

詳細や追加の変更点は、リポジトリのリリースページおよびチェンジログを参照してください。