loader-utils に Regular Expression Denial of Service (ReDoS) の脆弱性があります

webpackのloader-utilsライブラリにおけるCVE-2022-37599は、interpolateName.jsのFunction interpolateNameにおけるresourcePath変数を介した、正規表現によるサービス拒否（ReDoS）脆弱性です。攻撃者は、悪意のある文字列をresourcePathに注入することで、正規表現処理に過剰な時間を費やさせ、システムをクラッシュさせたり、異常な処理時間を引き起こしたりする可能性があります。特に、webpackを使用しているプロジェクトで、ファイルパスの処理にinterpolateNameが利用されている場合、攻撃の影響を受けやすくなります。例えば、悪意のあるファイルパスを含むリクエストが処理される際に、正規表現エンジンが指数関数的に処理時間を増加させ、最終的にサービスを停止させる可能性があります。この脆弱性の影響範囲は、webpackを組み込んだアプリケーション全体に及ぶ可能性があり、攻撃に成功した場合、アプリケーションの可用性が損なわれるだけでなく、関連する機密データへのアクセスが妨げられるリスクも存在します。攻撃者は、webpackのビルドプロセスを悪用して、この脆弱性を突く可能性があります。

1. 予約済み2022-08-08
2. 公開日2022-10-11
3. 更新日2025-11-04
4. EPSS 更新日2026-04-02

CVE-2022-37599の修正には、loader-utilsライブラリのバージョンアップが推奨されます。バージョン1.4.2、2.0.4、または3.2.1以上にアップグレードすることで、この脆弱性は解消されます。npmやyarnなどのパッケージマネージャを使用して、簡単にアップグレードできます。例えば、npm install [email protected] のようにコマンドを実行します。もし、バージョンアップが直ちに難しい場合は、resourcePathに渡される文字列を厳密に検証し、悪意のあるパターンが含まれていないかを確認する入力検証を追加することが一時的な緩和策として有効です。この検証は、ファイルパスの形式を制限したり、特定の文字をエスケープしたりすることで実現できます。アップグレード後、webpackの設定ファイルや関連するコードを再確認し、脆弱性が完全に修正されていることを確認してください。また、テスト環境で十分なテストを実施し、アプリケーションの機能に影響がないことを確認することが重要です。