HIGHCVE-2022-1650CVSS 8.1

eventsource/eventsource リポジトリにおける、保存または転送前に機密情報が適切に削除されていない問題

Q: CVE-2022-1650 — 情報漏洩 in eventsourceとは何ですか？

CVE-2022-1650は、eventsource/eventsource v2.0.2未満のバージョンにおける情報漏洩の脆弱性です。機密情報が適切に削除されずに保存または転送される可能性があります。

プラットフォーム

nodejs

コンポーネント

eventsource

修正版

2.0.2

AI Confidence: highNVDEPSS 1.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-1650は、GitHubリポジトリeventsource/eventsourceのバージョンv2.0.2未満に存在する情報漏洩の脆弱性です。この脆弱性により、機密情報が適切に削除されずに保存または転送される可能性があります。影響を受けるバージョンは0.0.0からv2.0.2までです。v2.0.2へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が機密情報を不正に取得する可能性があります。具体的には、イベントソース処理中に、ユーザーの認証情報、APIキー、またはその他の機密データが適切に削除されずに保存または転送される可能性があります。攻撃者は、この情報を利用して、システムへの不正アクセス、データの盗難、またはその他の悪意のある活動を行う可能性があります。この脆弱性は、Node.jsアプリケーションでeventsourceライブラリを使用している場合に特に深刻な影響を及ぼします。

悪用の状況

CVE-2022-1650は、2022年5月12日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていません。CISAのKEVカタログへの登録状況は不明です。この脆弱性は、Node.jsアプリケーションを構築する開発者にとって重要なセキュリティリスクとなります。

リスク対象者翻訳中…

Applications built using Node.js that rely on the eventsource library for event streaming or long-polling functionality are at risk. This includes web applications, backend services, and any other systems integrating this library. Developers who haven't recently reviewed their dependencies are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list eventsource

This command will list the installed version of the eventsource library. If the version is less than v2.0.2, the system is vulnerable. • nodejs / server:

npm audit eventsource

This command will check for known vulnerabilities in the eventsource library and report any findings. • generic web: Review application code for instances where the eventsource library is used. Look for potential data leakage points where sensitive information might be passed to or from the library without proper sanitization.

攻撃タイムライン

2022-05-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard100% まだ脆弱

EPSS

1.14% (78% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントeventsource

ベンダーeventsource

影響範囲修正版

0.0.0 – 1.1.02.0.2

1.1.1 – 1.1.12.0.2

2.0.0 – 2.0.12.0.2

弱点分類 (CWE)

CWE-212

タイムライン

予約済み2022-05-10
公開日2022-05-12
更新日2024-08-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への主な対策は、eventsourceライブラリをバージョン2.0.2以降にアップデートすることです。アップデートがすぐに適用できない場合は、入力データの検証を強化し、機密情報がログに記録されたり、ネットワーク経由で送信されたりするのを防ぐための追加のセキュリティ対策を講じる必要があります。また、WAF（Web Application Firewall）を使用して、悪意のあるイベントソースリクエストをブロックすることも有効です。

修正方法

eventsource ライブラリをバージョン 2.0.2 以降にアップデートしてください。これにより、保存または転送前に機密情報が公開される脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-1650 — 情報漏洩 in eventsourceとは何ですか？

CVE-2022-1650は、eventsource/eventsource v2.0.2未満のバージョンにおける情報漏洩の脆弱性です。機密情報が適切に削除されずに保存または転送される可能性があります。

CVE-2022-1650 in eventsourceの影響を受けていますか？

eventsourceのバージョンが0.0.0からv2.0.2までのいずれかを使用している場合、この脆弱性の影響を受けています。

CVE-2022-1650 in eventsourceを修正するにはどうすればよいですか？

eventsourceライブラリをバージョン2.0.2以降にアップデートすることで、この脆弱性を修正できます。

CVE-2022-1650は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていません。

CVE-2022-1650のeventsource公式アドバイザリはどこで入手できますか？

GitHubリポジトリのeventsource/eventsourceのリリースノートを参照してください: https://github.com/eventsource/eventsource/releases