LOWCVE-2019-16772CVSS 3.1

serialize-to-jsにおけるクロスサイトスクリプティング

Q: CVE-2019-16772 — XSS in serialize-to-jsパッケージとは何ですか？

CVE-2019-16772は、serialize-to-jsパッケージのバージョン3.0.1より前の脆弱性で、正規表現のシリアライズ処理におけるサニタイズの欠如によりクロスサイトスクリプティング（XSS）を引き起こします。

Q: CVE-2019-16772 in serialize-to-jsパッケージの影響はありますか？

serialize-to-jsパッケージのバージョン3.0.1より前のバージョンを使用している場合、XSS攻撃を受ける可能性があります。ユーザーのブラウザ上で任意のJavaScriptコードが実行されるリスクがあります。

Q: CVE-2019-16772 in serialize-to-jsパッケージを修正するにはどうすればよいですか？

serialize-to-jsパッケージをバージョン3.0.1以降にアップグレードすることで、この脆弱性を修正できます。

Q: CVE-2019-16772は積極的に悪用されていますか？

現時点では、CVE-2019-16772を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

Q: CVE-2019-16772に関するserialize-to-jsパッケージの公式アドバイザリはどこで入手できますか？

serialize-to-jsパッケージの公式アドバイザリは、通常、GitHubリポジトリまたはnpmのパッケージページで確認できます。

プラットフォーム

nodejs

コンポーネント

serialize-to-js

修正版

3.0.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-16772は、serialize-to-jsパッケージにおけるクロスサイトスクリプティング（XSS）の脆弱性です。この脆弱性は、正規表現のシリアライズ処理におけるサニタイズの欠如に起因し、攻撃者が悪意のあるスクリプトを挿入する可能性があります。影響を受けるバージョンは3.0.1より前のものです。バージョン3.0.1以降にアップグレードすることで、この脆弱性を修正できます。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、Cookieの窃取、セッションハイジャック、リダイレクト、または悪意のあるコンテンツの表示といった攻撃が可能になります。特に、このパッケージを利用しているWebアプリケーションにおいて、ユーザーが入力したデータが適切にサニタイズされていない場合、攻撃のリスクが高まります。この脆弱性はNode.jsアプリケーションには影響しませんが、serialize-to-jsを依存関係として使用している他のアプリケーションに影響を与える可能性があります。

悪用の状況

CVE-2019-16772は、2019年12月6日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。パブリックに利用可能なPoCは確認されていません。CISA KEVカタログへの登録は確認されていません。

リスク対象者翻訳中…

Applications built with Node.js that utilize the serialize-to-js package for data serialization, particularly those where the serialized data is rendered on the client-side without proper escaping, are at risk. Developers who have not recently reviewed their dependencies are also at increased risk.

検出手順翻訳中…

• nodejs / server:

  npm list serialize-to-js

If the output shows a version less than 3.0.1, the system is vulnerable. • nodejs / server:

npm audit serialize-to-js

This command will identify vulnerable versions and suggest upgrades. • generic web: Examine application code for usage of serialize-to-js and ensure proper input validation and output encoding are implemented.

攻撃タイムライン

2019-12-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.30% (53% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントserialize-to-js

ベンダーosv

影響範囲修正版

< 3.0.1 – 3.0.13.0.1

—3.0.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2019-09-24
公開日2019-12-06
更新日2026-03-13
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への主な対策は、serialize-to-jsパッケージをバージョン3.0.1以降にアップグレードすることです。アップグレードが困難な場合は、入力データのサニタイズを強化し、正規表現の利用を制限することを検討してください。また、Webアプリケーションファイアウォール（WAF）を使用して、XSS攻撃を検出し、ブロックすることも有効です。WAFのルールセットを最新の状態に保ち、serialize-to-jsに関連する既知の攻撃パターンに対応するように設定してください。

修正方法

serialize-to-js パッケージをバージョン3.0.1以降にアップデートしてください。これにより、シリアライズされた正規表現における安全でない文字を適切に軽減することで、XSS脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-16772 — XSS in serialize-to-jsパッケージとは何ですか？