HIGHCVE-2022-25878CVSS 7.5

protobufjsにおけるプロトタイプ汚染

プラットフォーム

nodejs

コンポーネント

protobufjs

修正版

6.11.3

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-25878は、protobufjsライブラリにおけるPrototype Pollution脆弱性です。この脆弱性は、攻撃者がObject.prototypeのプロパティを悪用し、アプリケーションの動作に影響を与える可能性があります。影響を受けるバージョンは、6.10.0から6.10.3、および6.11.0から6.11.3です。バージョン6.11.3へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

Prototype Pollutionは、攻撃者がObject.prototypeにプロパティを追加または変更することで、JavaScriptオブジェクトの動作を制御する可能性があります。protobufjsにおけるこの脆弱性は、util.setProperty関数やReflectionObject.setParsedOption関数に信頼できないユーザー入力を渡すこと、または.protoファイルを解析/ロードすることによって発生します。これにより、アプリケーション全体に影響を及ぼす可能性があり、機密情報の漏洩や、悪意のあるコードの実行につながる可能性があります。Prototype Pollutionは、他の脆弱性と組み合わさることで、より深刻な影響をもたらす可能性があります。

悪用の状況

CVE-2022-25878は、2022年5月28日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、Prototype Pollutionは広く知られた攻撃手法であり、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Applications built using Node.js that rely on the protobufjs library for data serialization and deserialization are at risk. This includes applications that process data from untrusted sources, such as user-uploaded files or external APIs, and those that parse .proto files without proper validation.

検出手順翻訳中…

• nodejs / server:

  npm list protobufjs

• nodejs / server:

  npm audit protobufjs

• generic web: Inspect application logs for unusual object property modifications or errors related to protobuf parsing. Look for patterns of unexpected property names being added to objects.

攻撃タイムライン

2022-05-28Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.42% (62% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントprotobufjs

ベンダーosv

影響範囲修正版

unspecified – 6.11.36.11.3

6.11.06.11.3

タイムライン

予約済み2022-02-24
公開日2022-05-28
更新日2025-01-14
EPSS 更新日2026-04-02

公開後-7日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、protobufjsライブラリをバージョン6.11.3以降にアップデートすることです。アップデートが利用できない場合は、信頼できないユーザー入力を検証し、sanitizeするなどの対策を講じる必要があります。また、WAF（Web Application Firewall）を使用して、Prototype Pollution攻撃を検出およびブロックすることも有効です。.protoファイルの解析/ロード時に、入力の検証を強化することも重要です。

修正方法

protobufjsの依存関係をバージョン6.11.3以降にアップデートしてください。これにより、プロトタイプ汚染の脆弱性が修正されます。`npm install protobufjs@latest`または`yarn upgrade protobufjs`を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-25878 — Prototype Pollution in protobufjsとは何ですか？

CVE-2022-25878は、protobufjsライブラリにおけるPrototype Pollution脆弱性であり、攻撃者がObject.prototypeのプロパティを悪用できる可能性があります。

CVE-2022-25878 in protobufjsの影響はありますか？

protobufjsのバージョン6.10.0以降6.10.3以前、および6.11.0以降6.11.3以前を使用している場合、影響を受ける可能性があります。

CVE-2022-25878 in protobufjsを修正するにはどうすればよいですか？

protobufjsライブラリをバージョン6.11.3以降にアップデートしてください。

CVE-2022-25878は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2022-25878の公式protobufjsアドバイザリはどこで入手できますか？

公式アドバイザリは、関連するセキュリティ情報源やprotobufjsプロジェクトのウェブサイトで確認してください。