HIGHCVE-2020-15256CVSS 7.7

object-pathにおけるプロトタイプ汚染

Q: CVE-2020-15256 とは何ですか？（object-path）

プロトタイプ汚染とは、オブジェクトのプロトタイプが変更され、そのオブジェクトのすべてのインスタンスに影響を与える現象です。これにより、予期しない動作やセキュリティ上の問題が発生する可能性があります。

Q: object-path の CVE-2020-15256 による影響を受けていますか？

プロジェクトの`object-path`のバージョンを確認してください。バージョンが0.11.4以下の場合、脆弱なバージョンを使用しています。

Q: object-path の CVE-2020-15256 を修正するにはどうすればよいですか？

`withInheritedProps`を使用している場合は、バージョン0.11.5以降に更新することが重要です。更新できない場合は、この機能を無効にすることを検討してください。

Q: CVE-2020-15256 は積極的に悪用されていますか？

脆弱性によって引き起こされた損害を特定するために、徹底的なセキュリティ監査を実施してください。将来の攻撃を防ぐために、追加のセキュリティ対策を実装してください。

Q: CVE-2020-15256 に関する object-path の公式アドバイザリはどこで確認できますか？

National Vulnerability Database (NVD)などの脆弱性データベースで、CVE-2020-15256のエントリを参照してください。

プラットフォーム

nodejs

コンポーネント

object-path

修正版

0.11.6

0.11.5

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2020-15256は、object-pathライブラリのset()メソッドに存在するプロトタイプ汚染の脆弱性です。この脆弱性を悪用されると、攻撃者がアプリケーションのプロトタイプチェーンを汚染し、予期しない動作やセキュリティ上の問題を引き起こす可能性があります。影響を受けるのは、object-pathのバージョン0.11.4以前で、特にincludeInheritedPropsモードを有効にしている場合です。この脆弱性はバージョン0.11.5で修正されています。

影響と攻撃シナリオ

object-pathのバージョン0.11.4以下のものにおいて、set()メソッドにプロトタイプ汚染の脆弱性が発見されました。この脆弱性は、バージョン0.11.0以上を使用している場合、includeInheritedPropsモード（includeInheritedProps: trueオプションを設定してobject-pathの新しいインスタンスを作成するか、デフォルトのwithInheritedPropsインスタンスを使用することで明示的に有効にする必要があります）でのみ発生します。バージョン0.11.0以上を使用している場合、デフォルトの動作モードは脆弱性の影響を受けません。攻撃者はこの脆弱性を悪用して、オブジェクトのプロトタイプ上のプロパティを修正し、影響を受けるオブジェクトが機密性の高い操作で使用されている場合、予期しない動作や悪意のあるコードの実行につながる可能性があります。CVSSの深刻度は7.7であり、高いリスクを示しています。

悪用の状況

この脆弱性の悪用には、includeInheritedPropsモードでset()メソッドに提供される入力に対する制御が必要です。攻撃者は、オブジェクトのプロトタイプを変更する悪意のあるデータを注入し、その結果、オブジェクトを使用するアプリケーションの他の部分に影響を与える可能性があります。悪用の難易度は、攻撃者が入力を制御する能力とアプリケーションの複雑さによって異なります。この脆弱性は、object-pathを使用して機密データを操作したり、昇格された権限環境で実行されるアプリケーションでは、より重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard100% まだ脆弱

EPSS

0.16% (37% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントobject-path

ベンダーosv

影響範囲修正版

< 0.11.5 – < 0.11.50.11.6

—0.11.5

弱点分類 (CWE)

CWE-471 CWE-20

タイムライン

予約済み2020-06-25
公開日2020-10-19
更新日2026-03-13
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性に対する解決策は、object-pathライブラリをバージョン0.11.5以降に更新することです。即時の更新が不可能な場合は、includeInheritedPropsモードを無効にすることを推奨します。具体的には、includeInheritedProps: trueオプションを設定してインスタンスを作成しないようにし、withInheritedPropsインスタンスを絶対に必要な場合にのみ使用します。object-pathを使用するコードをレビューして、潜在的なプロトタイプ汚染の影響を特定し、軽減することが重要です。緩和策を適用した後は、徹底的なテストを実施して、システムの機能が正常に動作し、脆弱性が解決されていることを確認する必要があります。システムログを監視することで、攻撃の試行を検出するのに役立ちます。

修正方法翻訳中…

Actualice la biblioteca object-path a la versión 0.11.5 o superior. Si no puede actualizar, evite usar la opción `includeInheritedProps: true` o la instancia `withInheritedProps` en versiones mayores o iguales a 0.11.0. Si está utilizando una versión anterior a 0.11.0, la única solución es actualizar.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-15256 とは何ですか？（object-path）