DocsDigest
一覧へLanguage: EN
OpenAIHono2026/04/07 4:15

v4.12.12

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.12 リリースノート — 2026-04-07

securityserve-staticssgcookiesip-restrictionpath-traversalhono

Key Points

  • serveStatic のバイパス修正
  • toSSG のパストラバース修正
  • cookie と IP 制限の改善

Summary

hono v4.12.12(公開日: 2026-04-07T04:15:34Z)は複数のセキュリティ修正を含むリリースです。Serve Static、Static Site Generation(toSSG)、IP 制限、cookie ユーティリティに影響する脆弱性を修正しました。これらの機能を利用しているプロジェクトは速やかに本バージョンへアップグレードしてください。

Key Points

  • Serve Static: パス正規化の不一致により // の繰り返しでミドルウェアがバイパスされ、保護された静的ファイルへアクセスできる問題を修正 (GHSA-wmmm-f939-6g9c).
  • toSSG: 不正な ssgParams によるパストラバーサルで出力ディレクトリ外へファイルを書き出せる問題を修正 (GHSA-xf4j-xp2r-rqqx).
  • ipRestriction: IPv4-mapped IPv6(例: ::ffff:127.0.0.1)の誤処理により許可/拒否ルールがバイパスされる問題を修正 (GHSA-xpcf-pg52-r92g).
  • cookie 関連: 書き込み時の cookie 名検証の欠如により setCookie()/serialize()/serializeSigned() の挙動が不整合になる問題を修正 (GHSA-26pp-8wgv-hjvm)、および getCookie() におけるノンブレークスペース接頭辞によるバイパスを修正 (GHSA-r5rp-j6wh-rvv4).
  • 推奨対応: Serve Static、toSSG、cookie ユーティリティ、ipRestriction を利用している場合は直ちに v4.12.12 へアップグレードし、動作確認と静的ファイル/出力パスの検証を行ってください。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.12

v4.12.12

  • 公開日: 2026-04-07T04:15:34.000Z
  • リリース: yusukebe
  • コミット: c37ba26

セキュリティ修正

このリリースには以下のセキュリティ修正が含まれます。

  • Middleware bypass via repeated slashes in serveStatic

    • 影響範囲: Serve Static ミドルウェア
    • 内容: パス正規化の不整合を修正しました。連続スラッシュ(//)によってルートベースのミドルウェア保護を回避し、保護された静的ファイルへアクセスされる可能性がありました。
    • アドバイザリ: GHSA-wmmm-f939-6g9c

  • Path traversal in toSSG() allows writing files outside the output directory

    • 影響範囲: toSSG()(Static Site Generation)
    • 内容: 細工された ssgParams により、設定された出力ディレクトリの外にファイルを書き出せてしまうパス・トラバーサル問題を修正しました。
    • アドバイザリ: GHSA-xf4j-xp2r-rqqx

  • Incorrect IP matching in ipRestriction() for IPv4-mapped IPv6 addresses

    • 影響範囲: IP Restriction ミドルウェア
    • 内容: IPv4-mapped IPv6 アドレス(例: ::ffff:127.0.0.1)の取り扱いが不適切で、allow/deny ルールを回避される可能性がありました。正しいマッチングを行うよう修正しました。
    • アドバイザリ: GHSA-xpcf-pg52-r92g

  • Missing validation of cookie name on write path in setCookie()

    • 影響範囲: setCookie(), serialize(), serializeSigned()hono/cookie
    • 内容: 書き込み時のクッキー名検証が漏れており、パース時とシリアライズ時で扱いが一致しない問題を修正しました。
    • アドバイザリ: GHSA-26pp-8wgv-hjvm

  • Non-breaking space prefix bypass in cookie name handling in getCookie()

    • 影響範囲: getCookie()hono/cookie
    • 内容: ノーブレークスペース(NBSP)プレフィックスによるクッキー名処理の不一致を修正しました。攻撃者制御のクッキーが正当なクッキーを上書きし、プレフィックス保護を回避する可能性がありました。
    • アドバイザリ: GHSA-r5rp-j6wh-rvv4

推奨

Serve Static、Static Site Generation、Cookie ユーティリティ、または IP Restriction ミドルウェアを利用しているユーザーは、このバージョンへのアップグレードを強く推奨します。

アセット

  • Assets: 2

(注)リリースの詳細やアドバイザリの参照は、該当する GHSA ID を確認してください。