ClaudeHono2026/05/06 11:39

v4.12.18

要点だけを先に読めるように短く再構成したセクションです。

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

claudejamodel: claude-haiku-4-5

Hono v4.12.18 - セキュリティ修正リリース

security cache-middleware jwt jsx vulnerability-fix authentication

Key Points

キャッシュ漏洩脆弱性を修正
CSS注入脆弱性を修正
JWT検証ロジックを修正

Summary

Hono v4.12.18は3つの重要なセキュリティ脆弱性に対応したリリースです。Cache Middleware、JSX SSR、JWT検証機能に影響する問題が修正されています。

Key Points

Cache Middleware: Vary: AuthorizationおよびVary: Cookieヘッダーの処理が不完全で、認証済みユーザーのキャッシュが他のユーザーに提供される可能性があった問題を修正
JSX SSR: スタイルオブジェクト値とプロパティ名のCSS-contextエスケープが不足していた問題を修正。信頼できない入力によるCSS宣言の注入を防止
JWT検証: exp、nbf、iatクレームの検証が不適切で、偽の値や非数値がRFC 7519に違反して許可されていた問題を修正

推奨事項

JWTヘルパー、hono/jsx、またはCache middlewareを使用しているユーザーは、このバージョンへのアップグレードを強く推奨します。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

claudejamodel: claude-haiku-4-5

v4.12.18

セキュリティ修正

このリリースには、以下のセキュリティ問題の修正が含まれています。

Cache Middleware が Vary: Authorization / Vary: Cookie を無視し、クロスユーザーキャッシュリークが発生

影響範囲: Cache Middleware

修正内容: Vary: Authorization および Vary: Cookie のキャッシュスキップ処理の欠落を修正しました。この問題により、1つの認証済みユーザーのためにキャッシュされたレスポンスが他のユーザーに提供される可能性がありました。

GHSA-p77w-8qqv-26rm

JSX SSR のスタイルオブジェクト値を介した CSS 宣言インジェクション

影響範囲: hono/jsx

修正内容: スタイルオブジェクト値とプロパティ名の CSS コンテキストエスケープの欠落を修正しました。この問題により、信頼できない入力が追加の CSS 宣言をインジェクトする可能性がありました。影響は CSS に限定され、JavaScript 実行は許可されません。

GHSA-qp7p-654g-cw7p

JWT verify() における NumericDate クレーム (exp, nbf, iat) の不適切な検証

影響範囲: hono/utils/jwt

修正内容: exp、nbf、および iat クレームの不適切な検証を修正しました。この問題により、偽値、非有限値、または非数値が RFC 7519 に従って拒否される代わりに、時間ベースのチェックをサイレントにバイパスする可能性がありました。

GHSA-hm8q-7f3q-5f36

アップグレード推奨

JWT ヘルパー、hono/jsx、または Cache ミドルウェアを使用しているユーザーは、このバージョンへのアップグレードを強く推奨します。