無料スキャン
HIGHCVE-2022-25878CVSS 7.5

protobufjsにおけるプロトタイプ汚染

プラットフォーム

nodejs

コンポーネント

protobufjs

修正版

6.11.3

6.11.3

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2022-25878は、protobufjsライブラリにおけるPrototype Pollution脆弱性です。この脆弱性は、攻撃者がObject.prototypeのプロパティを悪用し、アプリケーションの動作に影響を与える可能性があります。影響を受けるバージョンは、6.10.0から6.10.3、および6.11.0から6.11.3です。バージョン6.11.3へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

Prototype Pollutionは、攻撃者がObject.prototypeにプロパティを追加または変更することで、JavaScriptオブジェクトの動作を制御する可能性があります。protobufjsにおけるこの脆弱性は、util.setProperty関数やReflectionObject.setParsedOption関数に信頼できないユーザー入力を渡すこと、または.protoファイルを解析/ロードすることによって発生します。これにより、アプリケーション全体に影響を及ぼす可能性があり、機密情報の漏洩や、悪意のあるコードの実行につながる可能性があります。Prototype Pollutionは、他の脆弱性と組み合わさることで、より深刻な影響をもたらす可能性があります。

悪用の状況

CVE-2022-25878は、2022年5月28日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、Prototype Pollutionは広く知られた攻撃手法であり、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Applications built using Node.js that rely on the protobufjs library for data serialization and deserialization are at risk. This includes applications that process data from untrusted sources, such as user-uploaded files or external APIs, and those that parse .proto files without proper validation.

検出手順翻訳中…

• nodejs / server:

  npm list protobufjs

• nodejs / server:

  npm audit protobufjs

• generic web: Inspect application logs for unusual object property modifications or errors related to protobuf parsing. Look for patterns of unexpected property names being added to objects.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.42% (62% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N7.5HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントprotobufjs
ベンダーosv
影響範囲修正版
unspecified – 6.11.36.11.3
6.11.06.11.3

パッケージ情報

最終更新
8.0.05ヶ月前

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
公開後-7日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、protobufjsライブラリをバージョン6.11.3以降にアップデートすることです。アップデートが利用できない場合は、信頼できないユーザー入力を検証し、sanitizeするなどの対策を講じる必要があります。また、WAF(Web Application Firewall)を使用して、Prototype Pollution攻撃を検出およびブロックすることも有効です。.protoファイルの解析/ロード時に、入力の検証を強化することも重要です。

修正方法

protobufjsの依存関係をバージョン6.11.3以降にアップデートしてください。これにより、プロトタイプ汚染の脆弱性が修正されます。`npm install protobufjs@latest`または`yarn upgrade protobufjs`を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-25878 — Prototype Pollution in protobufjsとは何ですか?

CVE-2022-25878は、protobufjsライブラリにおけるPrototype Pollution脆弱性であり、攻撃者がObject.prototypeのプロパティを悪用できる可能性があります。

CVE-2022-25878 in protobufjsの影響はありますか?

protobufjsのバージョン6.10.0以降6.10.3以前、および6.11.0以降6.11.3以前を使用している場合、影響を受ける可能性があります。

CVE-2022-25878 in protobufjsを修正するにはどうすればよいですか?

protobufjsライブラリをバージョン6.11.3以降にアップデートしてください。

CVE-2022-25878は積極的に悪用されていますか?

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2022-25878の公式protobufjsアドバイザリはどこで入手できますか?

公式アドバイザリは、関連するセキュリティ情報源やprotobufjsプロジェクトのウェブサイトで確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索