Summary

v4.12.16 が 2026-04-30 に公開されました。本リリースは主に2件のセキュリティ修正を含みます。影響を受けるコンポーネントは hono/jsx と Body Limit ミドルウェアです。

• Unvalidated JSX Tag Names in hono/jsx — タグ名の検証不足により、信頼できない入力をタグ名に使うと HTML インジェクションが発生する可能性を修正。 (GHSA-69xw-7hcm-h432)
• bodyLimit() のバイパス対策 — チャンク転送や長さ不明のリクエストで Content-Length が使えない場合に制限が遅れて適用される問題を修正し、過剰なボディがハンドラに到達するのを防止。 (GHSA-9vqf-7f2p-gf9v)

Key Points

• 影響範囲

  • hono/jsx を使用して動的にタグ名を生成しているアプリは HTML インジェクションのリスクあり。
  • bodyLimit() を使っている場合、チャンク化されたリクエストで意図せず制限を回避される恐れあり。

• 推奨対応

  • 速やかに v4.12.16 へアップデートしてください。
  • すぐにアップデートできない場合:
    • 動的な JSX タグ名は信頼済み値に限定するか、ホワイトリストで検証する。
    • リクエストサイズ制限を TLS 終端やリバースプロキシ側で早期に適用する（接続レベルでの制限）。
    • ミドルウェアでストリーミング中にサイズを監視し、閾値超過時に即時切断する実装を検討する。

• 参考情報

  • GHSA-69xw-7hcm-h432 — hono/jsx のタグ名検証問題
  • GHSA-9vqf-7f2p-gf9v — bodyLimit() のバイパス問題

短くまとめると: 影響を受ける場合はすぐに v4.12.16 に更新し、動的タグ名とリクエストサイズ制限の実装を見直してください。