プラットフォーム
nodejs
コンポーネント
superjson
修正版
1.8.1
1.8.1
CVE-2022-23631 は、JavaScript ライブラリ superjson におけるリモートコード実行 (RCE) の脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしでサーバー上で任意のコードを実行することが可能となり、データ窃取やシステムへの不正アクセスなどの深刻な被害をもたらす可能性があります。影響を受けるバージョンは superjson 1.8.1 以前です。現在、superjson 1.8.1 で修正されており、Blitz.js 0.45.3 でも修正されています。
この脆弱性は非常に重大であり、攻撃者は superjson を使用して入力を処理するサーバー上で任意のコードを実行できます。Blitz.js のようなフレームワークを使用している場合、RPC コールなどのエンドポイントが脆弱性を持つ可能性があります。攻撃者は、この脆弱性を悪用してサーバーを完全に制御し、機密データを窃取したり、改ざんしたり、他のシステムへの攻撃の足がかりとして利用したりすることが可能です。認証不要でコード実行が可能であるため、攻撃の影響範囲は非常に広範に及ぶ可能性があります。この脆弱性は、Log4Shell のような深刻な脆弱性と同様の攻撃パターンで悪用される可能性があります。
この脆弱性は、2022年2月9日に公開されました。現在、KEV (Known Exploited Vulnerabilities) カタログに掲載されているかどうかは不明です。EPSS (Exploit Prediction Score System) スコアは、攻撃の可能性を評価するために使用されますが、現時点では評価されていません。公開されている PoC (Proof of Concept) は確認されていませんが、RCE の脆弱性であるため、悪用される可能性は高いと考えられます。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の情報も参照してください。
Applications built with Blitz.js that utilize superjson for data parsing are particularly at risk. Any Node.js application relying on superjson for processing external data, especially in API endpoints or RPC calls, is also vulnerable. Shared hosting environments where multiple applications share the same server instance are at increased risk due to the potential for cross-application exploitation.
• nodejs / server:
npm list superjsonThis command will list installed versions of superjson. Check if the version is less than 1.8.1. • nodejs / server:
find / -name "superjson.js" -o -name "superjson.min.js" -printLocate superjson files on the system to identify potential vulnerable deployments. • nodejs / server:
grep -r 'superjson.parse' /path/to/your/appSearch for instances of superjson.parse within your application code, as this is a key function used in vulnerable scenarios.
disclosure
エクスプロイト状況
EPSS
0.40% (61% パーセンタイル)
CVSS ベクトル
この脆弱性への対応として、superjson をバージョン 1.8.1 以降にアップグレードすることを強く推奨します。Blitz.js を使用している場合は、バージョン 0.45.3 以降にアップグレードしてください。アップグレードが困難な場合は、入力検証を強化し、信頼できない入力を処理する際に superjson の使用を避けるなどの回避策を検討してください。Web アプリケーションファイアウォール (WAF) を使用している場合は、悪意のあるコード実行を検知・防御するためのルールを設定することも有効です。攻撃の早期検知のため、異常なプロセス実行やファイルアクセスを監視する検知シグネチャを導入してください。アップグレード後、バージョンが正しく適用されていることを確認してください。
superjsonのバージョンを1.8.1以降にアップデートしてください。これにより、リモートコード実行を可能にするプロトタイプ汚染の脆弱性が修正されます。`npm install superjson@latest` または `yarn add superjson@latest` を実行してアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2022-23631 は、JavaScript ライブラリ superjson におけるリモートコード実行 (RCE) の脆弱性です。攻撃者は認証なしでサーバー上で任意のコードを実行できる可能性があります。
superjson のバージョンが 1.8.1 以前である場合、影響を受けます。Blitz.js を使用している場合は、バージョン 0.45.3 以前である場合も影響を受けます。
superjson をバージョン 1.8.1 以降にアップグレードしてください。Blitz.js を使用している場合は、バージョン 0.45.3 以降にアップグレードしてください。
RCE の脆弱性であるため、悪用される可能性は高いと考えられます。現時点では、具体的な攻撃事例の報告はありません。
superjson の公式アドバイザリは、GitHub リポジトリのリリースノートで確認できます: [https://github.com/superjson/superjson/releases](https://github.com/superjson/superjson/releases)