HIGHCVE-2022-25858CVSS 7.5

Terserの正規表現の不適切な使用がReDoSにつながる

Q: CVE-2022-25858 — ReDoSはterserで何ですか？

CVE-2022-25858は、JavaScriptのminifyツールterserのバージョン4.8.1未満、5.0.0から5.14.2に存在する正規表現 Denial of Service (ReDoS) 脆弱性です。攻撃者は正規表現の処理を長時間化させ、サービス拒否を引き起こす可能性があります。

Q: CVE-2022-25858で影響を受けますか？

Node.jsアプリケーションでterserのバージョン4.8.1未満、または5.0.0から5.14.2を使用している場合は、影響を受けます。プロジェクトの依存関係を確認し、バージョンをアップデートしてください。

Q: CVE-2022-25858を修正するにはどうすればよいですか？

terserをバージョン4.8.1以降にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、入力されるJavaScriptコードを検証し、正規表現の複雑さを制限するなどの対策を講じてください。

Q: CVE-2022-25858は積極的に悪用されていますか？

CVE-2022-25858は公開されており、PoCが存在する可能性があります。攻撃者がこの脆弱性を悪用する可能性は否定できません。

Q: CVE-2022-25858の公式terserアドバイザリはどこで入手できますか？

公式アドバイザリは、terserのGitHubリポジトリで確認できます。https://github.com/terser/terser

プラットフォーム

nodejs

コンポーネント

terser

修正版

4.8.1

5.14.2

4.8.1

AI Confidence: highNVDEPSS 3.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-25858は、JavaScriptのminifyツールであるterserにおいて、正規表現 Denial of Service (ReDoS) 脆弱性が発見されました。この脆弱性は、正規表現の処理に過剰な時間を費やさせ、Node.jsアプリケーションの可用性を低下させる可能性があります。影響を受けるバージョンはterser 4.8.1未満、および5.0.0から5.14.2です。4.8.1へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このReDoS脆弱性は、攻撃者が悪意のあるJavaScriptコードをterserに処理させることで、正規表現の処理を長時間化させ、サーバーのリソースを枯渇させ、サービス拒否状態を引き起こす可能性があります。攻撃者は、minify処理の遅延を利用して、他の攻撃を仕掛けるための時間稼ぎとして利用することも考えられます。特に、terserをCI/CDパイプラインで使用している場合、攻撃者はビルドプロセスを妨害し、ソフトウェアのリリースを遅らせる可能性があります。この脆弱性は、JavaScriptコードのminify処理に依存するアプリケーション全体に影響を及ぼす可能性があります。

悪用の状況

CVE-2022-25858は、公開されており、PoC（Proof of Concept）が存在する可能性があります。CISAのKEVリストにはまだ登録されていません。NVD（National Vulnerability Database）は2022年7月16日に公開されています。この脆弱性は、JavaScriptエコシステム全体に影響を及ぼす可能性があり、注意が必要です。

リスク対象者翻訳中…

Applications and services utilizing Terser for JavaScript minification or compression are at risk. This includes web applications, build systems (e.g., webpack, Parcel), and any Node.js projects that depend on Terser directly or indirectly through other packages. Developers using older versions of Terser in production environments are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list terser

• nodejs / server:

  npm audit

• nodejs / server: Check package.json for terser versions < 4.8.1 or between 5.0.0 and 5.14.2. • nodejs / server: Monitor CPU usage; spikes correlated with Terser processing could indicate exploitation.

攻撃タイムライン

2022-07-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard100% まだ脆弱

EPSS

3.56% (88% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントterser

ベンダーosv

影響範囲修正版

4.8.04.8.1

5.0.0 – 5.14.15.14.2

—4.8.1

タイムライン

予約済み2022-02-24
公開日2022-07-16
更新日2025-01-14
EPSS 更新日2026-04-02

公開後-2日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、terserをバージョン4.8.1以降にアップデートすることです。もしアップデートが困難な場合は、入力されるJavaScriptコードを検証し、正規表現の複雑さを制限するなどの対策を講じる必要があります。WAF（Web Application Firewall）を導入し、ReDoS攻撃の兆候を検知・遮断することも有効です。また、terserの正規表現処理に異常な時間がかかっている場合にアラートを発するように、監視システムを設定することも推奨されます。

修正方法

パッケージ terser をバージョン 4.8.1 以降、またはバージョン 5.14.2 以降にアップデートしてください。これにより、正規表現の不適切な使用によって引き起こされる正規表現によるサービス拒否 (ReDoS) の脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-25858 — ReDoSはterserで何ですか？