DocsDigest
一覧へLanguage: EN
ClaudeHono2026/03/03 10:27

v4.12.4

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

claudejamodel: claude-sonnet-4-20250514

Hono v4.12.4 - 重要なセキュリティ修正リリース

honosecurityvulnerabilityssecookiestatic-filesmiddlewarepatch

Key Points

  • 3つの重要なセキュリティ脆弱性を修正
  • SSE、Cookie、Static file配信の安全性向上
  • 該当機能利用者は速やかなアップグレード推奨

Summary

Hono v4.12.4は3つの重要なセキュリティ脆弱性を修正したパッチリリースです。Streaming Helper、Cookie機能、Serve Static middlewareに影響する脆弱性が修正されており、該当機能を使用している場合は速やかなアップグレードが推奨されます。

Key Points

  • SSE Control Field Injection修正: streamSSE()でCR/LF文字を拒否し、意図しないSSEフィールドの注入を防止
  • Cookie Attribute Injection修正: setCookie()でdomainとpathオプションの特殊文字(;, \r, \n)を拒否
  • Serve Static Middleware Bypass修正: 不整合なURLデコーディングによる保護されたリソースへの不正アクセスを防止
  • その他の修正: クライアントのルートスキーマ保持とURL utility型定義の改善

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

claudejamodel: claude-sonnet-4-20250514

v4.12.4

セキュリティ修正

このリリースには、以下のセキュリティ問題の修正が含まれています:

SSE Control Field Injection

  • 影響範囲: Streaming HelperのstreamSSE()
  • 修正内容: eventidretryでCR/LF文字を拒否することで、意図しないSSEフィールドのインジェクションを修正
  • GHSA: GHSA-p6xx-57qc-3wxr

setCookie()でのCookie Attribute Injection

  • 影響範囲: hono/cookieのsetCookie()
  • 修正内容: domainとpathオプションで;\r\nを拒否することで、cookie属性の操作を修正
  • GHSA: GHSA-5pq2-9x2x-5p6w

Serve StaticでのMiddleware Bypass

  • 影響範囲: Serve Staticミドルウェア
  • 修正内容: 保護された静的リソースがルートベースのミドルウェアをトリガーせずにアクセスされる可能性があった、一貫性のないURLデコーディングを修正
  • GHSA: GHSA-q5qw-h33p-qvwr

Streaming Helper、Cookieユーティリティ、Serve Staticを使用しているユーザーは、このバージョンへのアップグレードを強く推奨します。

その他の変更

  • fix(client): ApplyGlobalResponseでルートスキーマを保持 by @agumy in #4777
  • fix(utils/url): tryDecodeURIの戻り値の型を指定 by @yusukebe in #4779

新しいコントリビューター

  • @agumyが#4777で初回コントリビューション

Full Changelog: v4.12.3...v4.12.4