CRITICALCVE-2022-2900CVSS 9.1

Server-Side Request Forgery (SSRF) in ionicabizau/parse-url

プラットフォーム

nodejs

コンポーネント

parse-url

修正版

8.1.0

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-2900は、GitHubリポジトリionicabizau/parse-urlのバージョン8.1.0以前に存在するサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。この脆弱性は、攻撃者がparse-urlを通じて内部ネットワークリソースにアクセスすることを可能にします。影響を受けるバージョンは8.1.0以前であり、バージョン8.1.0へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はparse-urlを介して内部ネットワーク上の機密情報にアクセスしたり、内部サービスを不正に操作したりする可能性があります。例えば、内部データベースへのアクセス、管理インターフェースへのアクセス、または他の内部システムへの攻撃の足がかりとして利用される可能性があります。攻撃者は、parse-urlが処理するURLを制御することで、任意の内部リソースへのアクセスを試みることができます。この脆弱性は、特に内部ネットワークが外部ネットワークから直接アクセス可能である場合に、重大なセキュリティリスクをもたらします。

悪用の状況

CVE-2022-2900は、2022年9月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。この脆弱性は、CISA KEVカタログにはまだ登録されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Applications built with Node.js that utilize the parse-url package are at risk. This includes web applications, APIs, and backend services that process URLs from external sources. Projects relying on older versions of parse-url without robust input validation are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list parse-url
  # Check for versions <= 8.1.0

• nodejs / server:

  find /usr/local/lib/node_modules /opt/node_modules -name "parse-url" -print0 | xargs -0 grep -i "//internal.example.com"
  # Look for internal URLs in the package code

攻撃タイムライン

2022-09-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.43% (63% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントparse-url

ベンダーionicabizau

影響範囲修正版

unspecified – 8.1.08.1.0

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2022-08-19
公開日2022-09-14
更新日2024-08-03
EPSS 更新日2026-04-02

公開後-14日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、parse-urlをバージョン8.1.0にアップデートすることです。アップデートがすぐに実行できない場合は、parse-urlが処理するURLの入力を厳密に検証し、許可されていないURLへのアクセスをブロックするWAF（Web Application Firewall）やプロキシサーバーを導入することを検討してください。また、parse-urlがアクセスできる内部リソースを最小限に制限することも有効です。アップデート後、parse-urlのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

依存関係 'parse-url' をバージョン 8.1.0 以降にアップデートしてください。これにより SSRF の脆弱性が修正されます。 'npm install parse-url@latest' または 'yarn add parse-url@latest' を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-2900 — SSRF in parse-urlとは何ですか？

CVE-2022-2900は、ionicabizau/parse-urlのバージョン8.1.0以前に存在するサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。攻撃者が内部リソースに不正にアクセスする可能性があります。

CVE-2022-2900 in parse-urlの影響は受けますか？

ionicabizau/parse-urlのバージョンが8.1.0以前の場合は影響を受けます。バージョン8.1.0にアップデートしてください。

CVE-2022-2900 in parse-urlを修正するにはどうすればよいですか？

parse-urlをバージョン8.1.0にアップデートしてください。アップデートできない場合は、入力検証やWAFの導入を検討してください。

CVE-2022-2900は積極的に悪用されていますか？

現時点では具体的な悪用事例は報告されていませんが、SSRF脆弱性は悪用されやすい脆弱性であるため、注意が必要です。

CVE-2022-2900に関するparse-urlの公式アドバイザリはどこで入手できますか？

GitHubリポジトリのissueトラッカーを参照してください: https://github.com/ionicabizau/parse-url/issues