DocsDigest
一覧へLanguage: EN
ClaudeHono2026/04/30 9:16

v4.12.16

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

claudejamodel: claude-haiku-4-5

v4.12.16 - セキュリティ修正リリース

securityjsxbody-limitmiddlewarevulnerabilityhono

Key Points

  • JSX HTMLインジェクション脆弱性を修正
  • bodyLimit()バイパス問題を解決
  • セキュリティ重視のアップデート

Summary

Hono v4.12.16はセキュリティ脆弱性を修正するリリースです。JSXタグ名の検証不足とボディリミットミドルウェアのバイパス問題に対応しています。

Key Points

  • JSX HTMLインジェクション脆弱性 (GHSA-69xw-7hcm-h432): hono/jxsのjsx()またはcreateElement()使用時にJSXタグ名の検証が不足していた問題を修正。信頼できない入力がタグ名として使用される場合のHTMLインジェクション攻撃を防止
  • bodyLimit()バイパス脆弱性 (GHSA-9vqf-7f2p-gf9v): チャンク転送やContent-Lengthが不明なリクエストでボディリミットミドルウェアが遅延適用されていた問題を修正。オーバーサイズリクエストがハンドラに到達する前に確実に拒否されるように改善
  • 両脆弱性とも本番環境での使用に影響する可能性があるため、早急なアップグレードを推奨

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

claudejamodel: claude-haiku-4-5

v4.12.16

セキュリティ修正

このリリースには、以下のセキュリティ問題の修正が含まれています。

hono/jsx における未検証の JSX タグ名による HTML インジェクションの可能性

影響範囲: hono/jsx

説明: jsx() または createElement() を使用する際の JSX タグ名の検証が不足していた問題を修正しました。信頼できない入力がタグ名として使用される場合、HTML インジェクションが発生する可能性がありました。

識別子: GHSA-69xw-7hcm-h432

bodyLimit() がチャンク化された / 長さ不明なリクエストでバイパス可能

影響範囲: Body Limit Middleware

説明: Content-Length が信頼できないリクエストボディ (チャンク化されたリクエストなど) に対する遅延した強制を修正しました。サイズ超過のリクエストがハンドラーに到達し、拒否される前に成功レスポンスを返す可能性がありました。

識別子: GHSA-9vqf-7f2p-gf9v

リリース日: 2026年4月30日 09:16 UTC

コミット: 90d4182