DocsDigest
Back to listLanguage: JA
ClaudeHonoApr 7, 2026, 4:15 AM

v4.12.12

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

claudeenmodel: claude-sonnet-4-20250514

Hono v4.12.12 - Critical Security Fixes Release

securityvulnerabilitymiddlewarecookiesstatic-filespath-traversalip-restriction

Key Points

  • 5 critical security vulnerabilities fixed
  • Path traversal and middleware bypass issues resolved
  • Cookie handling validation improvements

Summary

Hono v4.12.12 is a security-focused release that addresses 5 critical vulnerabilities across multiple components including static file serving, cookie handling, IP restrictions, and static site generation.

Key Points

  • Serve Static Middleware: Fixed path normalization bypass via repeated slashes (//) that could allow access to protected static files
  • Static Site Generation: Resolved path traversal vulnerability in toSSG() that allowed writing files outside output directory
  • IP Restriction Middleware: Fixed incorrect handling of IPv4-mapped IPv6 addresses (e.g., ::ffff:127.0.0.1) causing rule bypasses
  • Cookie Utilities: Added missing validation for cookie names in setCookie(), serialize(), and serializeSigned()
  • Cookie Parsing: Fixed non-breaking space prefix bypass in getCookie() that could allow cookie override attacks

Upgrade Recommendation

Users utilizing Serve Static, Static Site Generation, Cookie utilities, or IP restriction middleware should upgrade immediately.

Full Translation

Translations

A translation section that keeps the flow of the original article.

claudejamodel: claude-sonnet-4-20250514

v4.12.12

v4.12.12

セキュリティ修正

このリリースには、以下のセキュリティ問題の修正が含まれています:

serveStaticでの繰り返しスラッシュによるミドルウェアバイパス

  • 影響範囲: Serve Staticミドルウェア
  • 修正内容: 繰り返しスラッシュ(//)がルートベースのミドルウェア保護をバイパスし、保護された静的ファイルへのアクセスを許可する可能性があったパス正規化の不整合を修正
  • GHSA: GHSA-wmmm-f939-6g9c

toSSG()でのパストラバーサルによる出力ディレクトリ外へのファイル書き込み

  • 影響範囲: 静的サイト生成のtoSSG()
  • 修正内容: 細工されたssgParamsの値が設定された出力ディレクトリ外にファイルを書き込む可能性があったパストラバーサル問題を修正
  • GHSA: GHSA-xf4j-xp2r-rqqx

ipRestriction()でのIPv4マップIPv6アドレスの不正なIPマッチング

  • 影響範囲: IP制限ミドルウェア
  • 修正内容: IPv4マップIPv6アドレス(例:::ffff:127.0.0.1)の不適切な処理により、許可/拒否ルールがバイパスされる可能性があった問題を修正
  • GHSA: GHSA-xpcf-pg52-r92g

setCookie()の書き込みパスでのCookie名の検証不備

  • 影響範囲: hono/cookiesetCookie()serialize()serializeSigned()
  • 修正内容: 書き込みパスでのCookie名の検証が不足しており、パースとシリアライゼーション間の不整合な処理を防ぐための修正
  • GHSA: GHSA-26pp-8wgv-hjvm

getCookie()でのCookie名処理における改行なしスペースプレフィックスバイパス

  • 影響範囲: hono/cookiegetCookie()
  • 修正内容: Cookie名処理の不一致により、攻撃者が制御するCookieが正当なCookieを上書きし、プレフィックス保護をバイパスする可能性があった問題を修正
  • GHSA: GHSA-r5rp-j6wh-rvv4

Serve Static、静的サイト生成、Cookieユーティリティ、またはIP制限ミドルウェアを使用しているユーザーは、このバージョンへのアップグレードを強く推奨します。

v4.12.12 | Hono | DocsDigest