OpenAIHono2026/05/06 11:39

v4.12.18

要点だけを先に読めるように短く再構成したセクションです。

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.18 リリース — セキュリティ修正

Key Points

v4.12.18 は複数のセキュリティ修正を含む緊急リリースです。Cache ミドルウェア、hono/jsx、hono/utils/jwt に関わる脆弱性が修正されており、これらを利用しているユーザーは本バージョンへの更新を強く推奨します。

Cache ミドルウェア: Vary: Authorization / Vary: Cookie の扱い漏れにより、認証ユーザー間でキャッシュが共有される可能性を修正。
hono/jsx: JSX の style オブジェクト値・プロパティ名に対する CSS コンテキストのエスケープ不足を修正（追加の CSS 宣言注入を防止）。影響は CSS に限定され、JavaScript 実行にはつながりません。
hono/utils/jwt: RFC 7519 に基づく NumericDate クレーム (exp, nbf, iat) の不適切な検証を修正。偽値・非数・非有限値による時間ベースのチェック回避を防止。

影響を受けるプロジェクトは速やかに v4.12.18 にアップグレードしてください。
互換性について: 本リリースはセキュリティ修正が中心であり、通常の API 互換性に破壊的変更は報告されていませんが、重要な認証・レンダリング挙動に関わるためテストを推奨します。

Published: 2026-05-06T11:39:35.000Z

Full Translation

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.18

公開日: 2026-05-06T11:39:35.000Z

このリリースには以下のセキュリティ修正が含まれます。

Cache Middleware が Vary: Authorization / Vary: Cookie を無視してクロスユーザーのキャッシュ漏洩を引き起こす問題
- 影響: Cache Middleware
- 修正内容: Vary: Authorization と Vary: Cookie に対するキャッシュスキップ処理の欠落を修正しました。これにより、ある認証済みユーザー用にキャッシュされたレスポンスが他のユーザーに提供される可能性を排除します。
- 脆弱性: GHSA-p77w-8qqv-26rm
JSX SSR における style オブジェクトの値による CSS 宣言インジェクション
- 影響: hono/jsx
- 修正内容: style オブジェクトの値およびプロパティ名に対する CSS コンテキストのエスケープ漏れを修正しました。未検証の入力が追加の CSS 宣言を注入する可能性がありました。影響は CSS に限定され、JavaScript 実行は許可されません。
- 脆弱性: GHSA-qp7p-654g-cw7p
JWT の verify() における NumericDate クレーム（exp、nbf、iat）の不適切な検証
- 影響: hono/utils/jwt
- 修正内容: exp、nbf、iat クレームの不適切な検証を修正しました。falsy、非有限、または非数値の値が RFC 7519 に従って拒否される代わりに時間ベースのチェックを静かに回避できていた問題を解消します。
- 脆弱性: GHSA-hm8q-7f3q-5f36

JWT helper、hono/jsx、または Cache middleware を使用しているユーザーは、このバージョンへのアップグレードを強く推奨します。