CRITICALCVE-2017-1001003CVSS 9.8

mathjsにおける任意のコード実行

プラットフォーム

nodejs

コンポーネント

mathjs

修正版

3.17.0

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2017-1001003は、JavaScriptの数式解析ライブラリmath.jsのバージョン3.17.0以前に存在する脆弱性です。攻撃者はUnicode文字を悪用し、オブジェクトの非公開プロパティを置き換えることが可能です。この脆弱性は、アプリケーションの挙動を改ざんし、潜在的に深刻な影響を及ぼす可能性があります。影響を受けるバージョンは3.17.0以前であり、バージョン3.17.0以降へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はmath.jsライブラリを使用しているアプリケーションの挙動を完全に制御できる可能性があります。例えば、コンストラクタを置き換えることで、オブジェクトの生成プロセスを改ざんし、悪意のあるコードを実行させることが考えられます。これにより、機密情報の窃取、データの改ざん、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。この脆弱性は、JavaScriptアプリケーションのセキュリティを根底から揺るがすものであり、早急な対応が必要です。Unicode文字を利用したプロパティの置き換えは、他のJavaScriptライブラリにも潜在的なリスクをもたらす可能性があり、注意が必要です。

悪用の状況

CVE-2017-1001003は、2017年12月18日に公開されました。現時点では、この脆弱性を悪用した公開されているPoC（Proof of Concept）は確認されていませんが、Unicode文字を利用した攻撃手法は、他のJavaScriptライブラリやアプリケーションにも適用できる可能性があり、注意が必要です。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Applications built on Node.js that utilize math.js for numerical computations or data processing are at risk. This includes web applications, command-line tools, and server-side scripts. Specifically, applications that accept user-provided data and pass it directly to math.js functions without proper sanitization are particularly vulnerable. Developers using older versions of math.js in production environments should prioritize upgrading to the patched version.

検出手順翻訳中…

• nodejs / server:

  npm list math.js

This command checks for installed versions of math.js. If the version is less than 3.17.0, the system is vulnerable. • nodejs / server:

  grep -r 'Object.prototype.' /path/to/your/app

Search for code that directly modifies Object.prototype. This may indicate attempts to exploit prototype pollution. • generic web: Inspect application logs for unusual errors or warnings related to object property access or modification. Unexpected behavior in data processing functions could be a sign of exploitation.

攻撃タイムライン

2017-12-18Disclosure
disclosure
2017-12-26Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.49% (65% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmathjs

ベンダーosv

影響範囲修正版

—3.17.0

タイムライン

公開日2017-12-18
更新日2023-11-08
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、math.jsライブラリをバージョン3.17.0以降にアップデートすることです。もしアップデートが困難な場合は、入力データの検証を強化し、Unicode文字による不正なプロパティの置き換えを防止する対策を講じる必要があります。WAF（Web Application Firewall）を導入し、悪意のあるUnicode文字を含むリクエストをブロックすることも有効です。また、math.jsライブラリを使用しているアプリケーションのコードレビューを実施し、潜在的な脆弱性を洗い出すことも重要です。アップデート後、math.jsのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2017-1001003 — Property Replacement in math.jsとは何ですか？

CVE-2017-1001003は、math.jsのバージョン3.17.0以前に存在する脆弱性で、Unicode文字を利用してオブジェクトの非公開プロパティを置き換えることが可能です。

CVE-2017-1001003 in math.jsに影響を受けますか？

math.jsのバージョン3.17.0以前を使用している場合は、影響を受けます。バージョン3.17.0以降にアップデートすることで修正されます。

CVE-2017-1001003 in math.jsを修正するにはどうすればよいですか？

math.jsライブラリをバージョン3.17.0以降にアップデートしてください。

CVE-2017-1001003は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、潜在的なリスクがあるため、早急な対応が必要です。

CVE-2017-1001003に関するmath.jsの公式アドバイザリはどこで入手できますか？

math.jsの公式ウェブサイトまたは関連するセキュリティ情報源で確認してください。