OpenAIHono2026/03/03 10:27

v4.12.4

要点だけを先に読めるように短く再構成したセクションです。

元記事

OpenAI Claude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.4 リリース: セキュリティ修正と小規模改善

security sse cookie serve-static middleware bugfix

Key Points

SSE フィールド注入修正
Cookie 属性注入修正
静的リソースのバイパス修正

Summary

v4.12.4 は複数のセキュリティ修正といくつかの実用的な小修正を含むリリースです。影響範囲は streamSSE()（Streaming Helper）、setCookie()（hono/cookie）、および Serve Static ミドルウェアです。該当機能を使用するプロジェクトは速やかにアップグレードしてください。

Key Points

SSE Control Field Injection: streamSSE() の event、id、retry における CR/LF を拒否し、未意図の SSE フィールド注入を防止します（GHSA-p6xx-57qc-3wxr）。
Cookie Attribute Injection: hono/cookie の setCookie() で ;、\r、\n を domain と path オプションで拒否し、クッキー属性の改ざんを防ぎます（GHSA-5pq2-9x2x-5p6w）。
Middleware Bypass 修正: Serve Static の不整合な URL デコードを修正し、保護された静的リソースがルートベースのミドルウェアをバイパスしてアクセスされる問題を解消します（GHSA-q5qw-h33p-qvwr）。
推奨対応: これらの機能を利用している場合は v4.12.4 へアップグレードしてください。破壊的変更は報告されていません。
その他の修正: ApplyGlobalResponse でルートスキーマを保持する修正（#4777）、tryDecodeURI の戻り型指定（#4779）、新規コントリビュータの追加。

詳細はフルチェンジログ（v4.12.3...v4.12.4）を参照してください。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.4

セキュリティ修正

SSE Control Field Injection
- 影響対象: streamSSE()（Streaming Helper）
- 修正内容: event、id、retry における CR/LF 文字を拒否することで、意図しない SSE フィールドの注入を防止します。
- GHSA: GHSA-p6xx-57qc-3wxr
Cookie Attribute Injection in setCookie()
- 影響対象: setCookie()（hono/cookie）
- 修正内容: ドメインおよびパスオプション内の ;, \r, \n を拒否することで、クッキー属性の改ざんを防止します。
- GHSA: GHSA-5pq2-9x2x-5p6w
Middleware Bypass in Serve Static
- 影響対象: Serve Static ミドルウェア
- 修正内容: 不一致な URL デコードを修正し、ルートベースのミドルウェアをトリガーせずに保護された静的リソースにアクセスされる可能性を修正します。
- GHSA: GHSA-q5qw-h33p-qvwr

Streaming Helper、Cookie ユーティリティ、Serve Static を使用しているユーザーは、本バージョンへのアップグレードを強く推奨します。

その他の変更

fix(client): ApplyGlobalResponse でルートスキーマを保持するように — @agumy in #4777
fix(utils/url): tryDecodeURI の戻り値の型を指定 — @yusukebe in #4779

新しい貢献者

@agumy が #4777 で初めての貢献をしました

フルチェンジログ

v4.12.3...v4.12.4