CRITICALCVE-2021-3918CVSS 9.8

json-schema は Prototype Pollution の脆弱性を持っています

プラットフォーム

nodejs

コンポーネント

json-schema

修正版

0.3.1

0.4.0

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2021-3918は、json-schemaライブラリのバージョン0.4.0より前のバージョンに存在するプロトタイプ汚染（Prototype Pollution）脆弱性です。この脆弱性は、攻撃者がJavaScriptオブジェクトのプロトタイプを悪用し、予期せぬ動作を引き起こす可能性があります。Node.js環境でjson-schemaを使用しているシステムは、バージョン0.4.0へのアップデートを強く推奨します。

影響と攻撃シナリオ

プロトタイプ汚染は、JavaScriptオブジェクトのプロトタイプチェーンを悪用する攻撃手法です。CVE-2021-3918では、json-schemaライブラリの処理において、攻撃者がオブジェクトのプロトタイプに不正な属性を追加したり、既存の属性を上書きしたりすることが可能です。これにより、アプリケーションの動作が予期せぬ方向に変化し、機密情報の漏洩や、悪意のあるコードの実行といった深刻な被害につながる可能性があります。特に、json-schemaを使用してデータの検証や変換を行うアプリケーションでは、この脆弱性が悪用されると、データの整合性が損なわれるリスクがあります。この攻撃手法は、Log4Shellのようなサプライチェーン攻撃におけるプロトタイプ汚染の悪用事例と類似したパターンを示す可能性があります。

悪用の状況

CVE-2021-3918は、2021年11月19日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。EPSS（Exploit Prediction Score System）のスコアは、公開されている情報からは判断できません。公的に利用可能なPoC（Proof of Concept）は確認されていませんが、プロトタイプ汚染は広く知られた攻撃手法であり、悪用される可能性は否定できません。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の動向を把握することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.26% (79% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントjson-schema

ベンダーosv

影響範囲修正版

unspecified – 0.3.00.3.1

—0.4.0

弱点分類 (CWE)

CWE-1321

タイムライン

予約済み2021-11-02
公開日2021-11-19
更新日2025-01-17
EPSS 更新日2026-04-02

公開後-10日でパッチ適用

緩和策と回避策

CVE-2021-3918の根本的な解決策は、json-schemaライブラリをバージョン0.4.0以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、入力データの検証を強化し、プロトタイプ汚染攻撃を検知・防止するWAF（Web Application Firewall）やプロキシサーバーのルールを導入することを検討してください。また、json-schemaライブラリの処理において、信頼できないデータを受け入れないように、入力データのサニタイズを徹底することも有効です。アップデート後、json-schemaライブラリのバージョンを確認し、脆弱性が解消されていることを確認してください。

修正方法

json-schema ライブラリを 0.3.0 より後のバージョンにアップデートしてください。これにより Prototype Pollution の脆弱性が修正されます。npm または yarn を使用して依存関係をアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2021-3918 — プロトタイプ汚染はjson-schemaで何ですか？

CVE-2021-3918は、json-schemaライブラリのバージョン0.4.0より前のバージョンに存在するプロトタイプ汚染（Prototype Pollution）脆弱性です。攻撃者はオブジェクトのプロトタイプ属性を不正に修正し、予期せぬ動作を引き起こす可能性があります。

CVE-2021-3918はjson-schemaで影響を受けますか？

はい、json-schemaライブラリのバージョン0.4.0より前のバージョンを使用している場合、CVE-2021-3918の影響を受けます。バージョン0.4.0以降にアップデートしてください。

CVE-2021-3918はjson-schemaでどのように修正しますか？

CVE-2021-3918を修正するには、json-schemaライブラリをバージョン0.4.0以降にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、入力データの検証を強化し、WAFのルールを導入することを検討してください。

CVE-2021-3918は積極的に悪用されていますか？

現時点では、公的に利用可能なPoCは確認されていませんが、プロトタイプ汚染は広く知られた攻撃手法であり、悪用される可能性は否定できません。最新の動向を常に監視してください。

CVE-2021-3918のjson-schema公式アドバイザリはどこで入手できますか？

json-schemaの公式アドバイザリは、GitHubリポジトリで確認できます。https://github.com/julius-henning/json-schema/security/advisories/GHSA-593g-4f9x-996g

NextGuard

脆弱性

これらのメトリクスの意味は？

Attack Vector: ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity: 低 — 特別な条件不要。安定して悪用可能。
Privileges Required: なし — 認証不要。資格情報なしで悪用可能。
User Interaction: なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope: 変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality: 高 — 機密性の完全喪失。全データが読み取り可能。
Integrity: 高 — 任意のデータの書き込み・変更・削除が可能。
Availability: 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

パッケージ情報

最終更新: 0.4.055ヶ月前

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン CVEを検索