CRITICALCVE-2017-16042CVSS 9.8

Growl 1.10.0 より前のバージョンはコマンドインジェクションの脆弱性があります

プラットフォーム

nodejs

コンポーネント

growl

修正版

1.10.0

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2017-16042は、Node.jsのgrowlライブラリにおけるコマンドインジェクションの脆弱性です。この脆弱性は、growlがユーザーからの入力を適切に検証せずにシェルコマンドに渡すために発生します。攻撃者はこの脆弱性を悪用して、サーバー上で任意のコマンドを実行し、システムを完全に制御する可能性があります。影響を受けるバージョンはgrowlの初期バージョンであり、1.10.0以降にアップデートすることでこの問題を解決できます。

影響と攻撃シナリオ

この脆弱性を悪用された場合、攻撃者はサーバー上で任意のコードを実行できます。これにより、機密情報の窃取、データの改ざん、システムの破壊など、深刻な被害が発生する可能性があります。特に、growlが重要なシステムコンポーネントとして使用されている場合、その影響は甚大です。攻撃者は、この脆弱性を利用して、他のシステムへの横展開を試みる可能性もあります。この脆弱性は、Log4Shellのような深刻な脆弱性と同様に、広範囲にわたる影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、公開されており、悪用される可能性があります。現時点では、KEVに登録されていませんが、その深刻度から、今後登録される可能性があります。公開されているPoC（Proof of Concept）が存在するため、攻撃者は容易にこの脆弱性を悪用できる可能性があります。NVD（National Vulnerability Database）は2018年6月8日に公開されています。

リスク対象者翻訳中…

Applications and systems that rely on the growl Node.js module for notification functionality are at risk. This includes development environments, production servers, and any system where the module is integrated into custom applications. Specifically, systems that process untrusted user input and pass it directly to the growl module are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list growl

If the output shows a version less than 1.10.0, the system is vulnerable. • nodejs / server:

  find / -name "growl*" -type d -print

This command searches for the growl module directory. Check the version within the directory. • nodejs / server:

  npm audit | grep growl

This command checks for known vulnerabilities in the growl module using npm audit.

攻撃タイムライン

2017-12-28Discovery
discovery
2018-06-08Disclosure
disclosure
2018-06-08Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.35% (57% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgrowl

ベンダーosv

影響範囲修正版

—1.10.0

タイムライン

公開日2018-06-08
更新日2023-11-08
EPSS 更新日2026-04-02

公開後-329日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、growlライブラリをバージョン1.10.0以降にアップデートすることです。もしアップデートが困難な場合は、入力のサニタイズを厳格に行うか、growlの使用を一時的に停止することを検討してください。WAF（Web Application Firewall）を導入し、悪意のあるコマンドの実行をブロックすることも有効な対策です。また、関連するログを監視し、不審なアクティビティを早期に検出することも重要です。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2017-16042 — コマンドインジェクション growl in nodejsとは何ですか？

CVE-2017-16042は、Node.jsのgrowlライブラリにおけるコマンドインジェクションの脆弱性で、攻撃者が任意のコマンドを実行できる可能性があります。

CVE-2017-16042 in growlに影響を受けますか？

Node.jsアプリケーションでgrowlのバージョン1.10.0より前のバージョンを使用している場合、影響を受ける可能性があります。

CVE-2017-16042 in growlを修正するにはどうすればよいですか？

growlライブラリをバージョン1.10.0以降にアップデートすることで、この脆弱性を修正できます。

CVE-2017-16042は積極的に悪用されていますか？

公開されているPoCが存在するため、悪用される可能性があります。

CVE-2017-16042の公式growlアドバイザリはどこで入手できますか？

growlプロジェクトの公式ウェブサイトまたはGitHubリポジトリでアドバイザリを確認してください。