Summary

v4.12.7 はセキュリティ強化リリースです。parseBody({ dot: true }) を使用した場合に、__proto__ をパスセグメントとして無視する挙動が導入され、潜在的なプロトタイプ汚染（prototype pollution）を防止します。互換性に大きな影響はない想定ですが、該当オプションを利用するプロジェクトは早めのアップデートを推奨します。

Key Points

• 問題: parseBody({ dot: true }) と結合した際に、__proto__ を含むパスがプロトタイプ汚染につながる可能性がありました。
• 対策: リリースで __proto__ パスセグメントを無視する処理を追加して安全化しました。
• 影響範囲: APIの表面的な変更は無く、動作互換性の影響は小さい見込み。ただし、入力のマージや unsafe なパターンと組み合わせるコードは注意してください。

推奨対応（エンジニア向け）

• できるだけ速やかに v4.12.7 へアップデートしてください。
• parseBody({ dot: true }) を利用している箇所を確認し、外部入力を信頼せずにバリデーション／サニタイズを行ってください。
• 依存関係や独自のマージ処理で __proto__ を取り扱っている実装があれば監査し、明示的に除外するか安全なマージユーティリティを使用してください。