node-fetch/node-fetchにおける不正なActorへの機密情報漏洩

node-fetchのCVE-2022-0235脆弱性は、機密情報が不正なアクセスを伴う形で漏洩される可能性があります。この脆弱性は、node-fetchがHTTPリクエストを処理する際に、特定の条件下で内部的な情報（例えば、認証情報、APIキー、内部ネットワークアドレスなど）を意図せずクライアントに送信してしまうことに起因します。攻撃者は、node-fetchを使用するアプリケーションに対して、巧妙に細工されたHTTPリクエストを送信することで、この脆弱性を悪用し、機密情報を盗み出すことが考えられます。影響を受けるアプリケーションは、node-fetchを依存関係として使用しているNode.jsプロジェクトであり、特に外部からのHTTPリクエストを処理するAPIサーバーやWebアプリケーションが対象となります。この脆弱性の影響範囲は、機密情報が漏洩した場合、その情報を使用する他のシステムやサービスにまで拡大する可能性があります。例えば、APIキーが漏洩した場合、攻撃者はそのキーを使用して不正にAPIにアクセスし、データ操作やサービス妨害を行うことが可能になります。また、内部ネットワークアドレスが漏洩した場合、攻撃者はその情報を利用して内部ネットワークへの侵入を試みる可能性があります。

Applications built with Node.js that utilize the node-fetch library are at risk. This includes web applications, APIs, and backend services that rely on node-fetch for making HTTP requests. Specifically, applications that handle sensitive data or interact with external APIs are particularly vulnerable.

• nodejs / server:

  npm list node-fetch

• nodejs / server:

  npm audit node-fetch

• nodejs / server: Check package.json for versions <= 3.1.1 • nodejs / server: Review application logs for unusual HTTP requests or error messages related to header processing.

1. 2022-01-16Disclosure

   disclosure

1. 予約済み2022-01-14
2. 公開日2022-01-16
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

この脆弱性に対処するためには、node-fetchをバージョン3.1.1以降にアップデートすることを強く推奨します。アップデートは、npmなどのパッケージマネージャーを使用して簡単に行うことができます。例えば、npm install node-fetch@latestを実行することで、最新バージョンに更新できます。もし、すぐにアップデートできない場合は、node-fetchを使用するコードを修正し、機密情報が意図せず送信されないように対策を講じる必要があります。具体的には、HTTPリクエストを送信する前に、機密情報を適切にマスキングしたり、ログ出力時に機密情報が含まれないように注意する必要があります。アップデートの適用後、アプリケーションを再起動し、機密情報が正しく保護されていることを確認してください。テスト環境でアップデートを検証し、本番環境に適用する前に、アプリケーションの動作に問題がないことを確認することが重要です。アップデートの適用状況は、npm list node-fetchコマンドで確認できます。