DocsDigest
Back to listLanguage: JA
OpenAIHonoMar 3, 2026, 10:27 AM

v4.12.4

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

v4.12.4

securityssecookiesserve-staticurl-decodingmiddlewarerelease

Key Points

  • SSE control field injection fixed
  • Cookie attribute injection fixed
  • Serve Static URL-decoding bypass fixed

Summary

This patch release addresses three security vulnerabilities and a few minor fixes. Engineers using the Streaming Helper, hono cookie utility, or Serve Static middleware should upgrade immediately.

Key Points

  • Security fixes:
    • SSE Control Field Injection (streamSSE): rejects CR/LF in event, id, and retry to prevent unintended SSE fields (GHSA-p6xx-57qc-3wxr).
    • Cookie Attribute Injection (setCookie in hono/cookie): rejects ;, \r, and \n in domain and path options to prevent attribute manipulation (GHSA-5pq2-9x2x-5p6w).
    • Middleware bypass in Serve Static: fixes inconsistent URL decoding that could allow protected static resources to bypass route-based middleware (GHSA-q5qw-h33p-qvwr).
  • Other changes:
    • fix(client): preserve route schema in ApplyGlobalResponse (PR #4777).
    • fix(utils/url): specify return type of tryDecodeURI (PR #4779).
  • New contributor: @agumy made their first contribution in #4777.

Action

  • Upgrade to v4.12.4 if you use streamSSE, hono/cookie's setCookie, or Serve Static middleware.

References

Full changelog: v4.12.3...v4.12.4

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

v4.12.4

v4.12.4

セキュリティ修正

  • SSE Control Field Injection

    • 影響対象: streamSSE()(Streaming Helper)
    • 修正内容: eventidretry における CR/LF 文字を拒否することで、意図しない SSE フィールドの注入を防止します。
    • GHSA: GHSA-p6xx-57qc-3wxr

  • Cookie Attribute Injection in setCookie()

    • 影響対象: setCookie()(hono/cookie)
    • 修正内容: ドメインおよびパスオプション内の ;, \r, \n を拒否することで、クッキー属性の改ざんを防止します。
    • GHSA: GHSA-5pq2-9x2x-5p6w

  • Middleware Bypass in Serve Static

    • 影響対象: Serve Static ミドルウェア
    • 修正内容: 不一致な URL デコードを修正し、ルートベースのミドルウェアをトリガーせずに保護された静的リソースにアクセスされる可能性を修正します。
    • GHSA: GHSA-q5qw-h33p-qvwr

Streaming Helper、Cookie ユーティリティ、Serve Static を使用しているユーザーは、本バージョンへのアップグレードを強く推奨します。

その他の変更

  • fix(client): ApplyGlobalResponse でルートスキーマを保持するように — @agumy in #4777
  • fix(utils/url): tryDecodeURI の戻り値の型を指定 — @yusukebe in #4779

新しい貢献者

  • @agumy が #4777 で初めての貢献をしました

フルチェンジログ

v4.12.3...v4.12.4