DocsDigest
一覧へLanguage: EN
ClaudeHono2026/04/07 4:15

v4.12.12

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

claudejamodel: claude-sonnet-4-20250514

Hono v4.12.12 - 重要なセキュリティ修正リリース

securityvulnerabilitymiddlewarecookiestatic-filesssgip-restriction

Key Points

  • 5つの重要なセキュリティ脆弱性を修正
  • 静的ファイル配信とSSG機能の脆弱性対応
  • Cookie処理とIP制限機能の強化

Summary

Hono v4.12.12は複数の重要なセキュリティ脆弱性を修正するリリースです。静的ファイル配信、SSG、Cookie処理、IP制限機能に関する5つのセキュリティ問題が解決されています。

Key Points

  • 静的ファイル配信の脆弱性修正: 連続スラッシュ(//)によるミドルウェアバイパスを修正
  • SSG機能の脆弱性修正: toSSG()でのパストラバーサル攻撃を防止
  • IP制限機能の修正: IPv4マップドIPv6アドレスの不適切な処理を修正
  • Cookie処理の強化: setCookie()でのCookie名検証不備を修正
  • Cookie名処理の改善: getCookie()での非改行スペース文字によるバイパスを修正

該当する機能を使用している場合は、速やかにアップグレードすることを強く推奨します。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

claudejamodel: claude-sonnet-4-20250514

v4.12.12

v4.12.12

セキュリティ修正

このリリースには、以下のセキュリティ問題の修正が含まれています:

serveStaticでの繰り返しスラッシュによるミドルウェアバイパス

  • 影響範囲: Serve Staticミドルウェア
  • 修正内容: 繰り返しスラッシュ(//)がルートベースのミドルウェア保護をバイパスし、保護された静的ファイルへのアクセスを許可する可能性があったパス正規化の不整合を修正
  • GHSA: GHSA-wmmm-f939-6g9c

toSSG()でのパストラバーサルによる出力ディレクトリ外へのファイル書き込み

  • 影響範囲: 静的サイト生成のtoSSG()
  • 修正内容: 細工されたssgParamsの値が設定された出力ディレクトリ外にファイルを書き込む可能性があったパストラバーサル問題を修正
  • GHSA: GHSA-xf4j-xp2r-rqqx

ipRestriction()でのIPv4マップIPv6アドレスの不正なIPマッチング

  • 影響範囲: IP制限ミドルウェア
  • 修正内容: IPv4マップIPv6アドレス(例:::ffff:127.0.0.1)の不適切な処理により、許可/拒否ルールがバイパスされる可能性があった問題を修正
  • GHSA: GHSA-xpcf-pg52-r92g

setCookie()の書き込みパスでのCookie名の検証不備

  • 影響範囲: hono/cookiesetCookie()serialize()serializeSigned()
  • 修正内容: 書き込みパスでのCookie名の検証が不足しており、パースとシリアライゼーション間の不整合な処理を防ぐための修正
  • GHSA: GHSA-26pp-8wgv-hjvm

getCookie()でのCookie名処理における改行なしスペースプレフィックスバイパス

  • 影響範囲: hono/cookiegetCookie()
  • 修正内容: Cookie名処理の不一致により、攻撃者が制御するCookieが正当なCookieを上書きし、プレフィックス保護をバイパスする可能性があった問題を修正
  • GHSA: GHSA-r5rp-j6wh-rvv4

Serve Static、静的サイト生成、Cookieユーティリティ、またはIP制限ミドルウェアを使用しているユーザーは、このバージョンへのアップグレードを強く推奨します。