DocsDigest
一覧へLanguage: EN
OpenAIHono2026/05/19 11:41

v4.12.21

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.21 セキュリティ修正リリース

securityhonocookiejwtip-restrictionmountipv6

Key Points

  • app.mount のプレフィックス判定修正
  • IPv6 非正規表記のアクセス回避を修正
  • Cookie と JWT の注入/検証問題を修正

Summary

v4.12.21 は複数のセキュリティ脆弱性を修正するリリースです。影響を受けるパッケージは app.mount(), hono/ip-restriction, hono/cookie, hono/jwt / hono/jwk で、パス処理、IPv6 比較、Set-Cookie 属性注入、Authorization ヘッダ検証に関する不備が解消されています(公開日: 2026-05-19)。アップグレードを推奨します。

Key Points

  • app.mount(): デコード済みパスではなく生の URL pathname を使ってマウントプレフィックスを判定するよう修正し、% エンコードされたパスでの不正なプレフィックス削除を防止 (GHSA-2gcr-mfcq-wcc3)
  • hono/ip-restriction: IPv6 の非正規表現(圧縮表記や IPv4 マップ表記など)での拒否ルール回避を防ぐため、文字列比較から適切なアドレス比較へ修正 (GHSA-xrhx-7g5j-rcj5)
  • hono/cookie: sameSite と priority オプションでの注入文字(; , CR, LF)を検証して Set-Cookie ヘッダ注入を防止 (GHSA-3hrh-pfw6-9m5x)
  • hono/jwt / hono/jwk: Authorization ヘッダのスキーム検証を追加し、Bearer 以外のスキームが誤って認証を通過する問題を修正 (GHSA-f577-qrjj-4474)

Recommendation

  • 影響を受けるモジュールを使用している場合は直ちに v4.12.21 にアップグレードしてください。
  • 外部入力で同一化できる cookie オプションやヘッダ処理を行っている箇所は追加検証を行ってください。
  • ネットワーク制御では IPv6 正規化/比較を明示的に扱うことを確認してください。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.21

v4.12.21

公開日: 2026-05-19T11:41:00.000Z リリース担当: yusukebe

概要

  • このリリースには以下のセキュリティ修正が含まれます。

セキュリティ修正

  • app.mount() がパーセントエンコードされたパスで不正なルーティングを引き起こすプレフィックス削除

    • 影響: app.mount()
    • 修正: デコード済みのパスではなく、生の URL pathname を使用してプレフィックスの削除を行うよう修正しました。マウントプレフィックスやパスにパーセントエンコードされた文字が含まれる場合、誤った位置でプレフィックスが削除され、サブアプリケーションが不正なパスを受け取る可能性がありました。
    • GHSA-2gcr-mfcq-wcc3

  • IP Restriction が非正規の IPv6 に対して静的 deny ルールをバイパスする

    • 影響: hono/ip-restriction
    • 修正: 文字列等価での比較をやめ、IP アドレス比較を修正しました。圧縮表現や 16 進表記の IPv4 マップアドレスなどの非正規な IPv6 表現によって拒否対象のアドレスがバイパスされる可能性がありました。
    • GHSA-xrhx-7g5j-rcj5

  • Cookie ヘルパーが sameSitepriority をサニタイズせず、Set-Cookie インジェクションを許す

    • 影響: hono/cookie
    • 修正: sameSitepriority オプションに対するインジェクション文字(;, ,, \r, \n)の検証を追加しました。これらのオプションにユーザー制御の入力が渡された場合、Set-Cookie レスポンスヘッダへ追加属性が注入される可能性がありました。
    • GHSA-3hrh-pfw6-9m5x

  • JWT ミドルウェアが Bearer 以外の Authorization スキームを受け付ける

    • 影響: hono/jwt, hono/jwk
    • 修正: Authorization ヘッダのスキーム検証を追加しました。スキーム名に関係なく2パートのヘッダ値が受け入れられていたため、非 Bearer スキームが JWT 認証を通過してしまう可能性がありました。
    • GHSA-f577-qrjj-4474

推奨

  • app.mount(), hono/ip-restriction, hono/cookie, hono/jwt / hono/jwk を使用しているユーザーは、このバージョンにアップグレードすることを推奨します。

その他

  • Assets: 2
  • リアクション: ❤️ 2、🚀 4