HIGHCVE-2024-21536CVSS 7.5

http-proxy-middlewareにおけるサービス拒否

Q: http-proxy-middleware の CVE-2024-21536 を修正するにはどうすればよいですか？

ターミナルで `npm list http-proxy-middleware` コマンドを使用すると、バージョンを確認できます。

Q: CVE-2024-21536 に関する http-proxy-middleware の公式アドバイザリはどこで確認できますか？

はい、`npm audit` や `yarn audit` などのツールがあり、依存関係を脆弱性でスキャンし、更新を提案できます。

プラットフォーム

nodejs

コンポーネント

http-proxy-middleware

修正版

2.0.7

3.0.3

2.0.7

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-21536は、http-proxy-middlewareに存在するサービス拒否（DoS）の脆弱性です。この脆弱性を悪用することで、攻撃者はNode.jsプロセスを強制終了させ、サーバーをクラッシュさせる可能性があります。影響を受けるバージョンは2.0.7より前のバージョンと、3.0.0から3.0.3より前のバージョンです。バージョン2.0.7でこの問題は修正されています。

影響と攻撃シナリオ

CVE-2024-21536 は、2.0.7 以前のバージョン、および 3.0.0 ～ 3.0.3 までの http-proxy-middleware パッケージに影響を与えます。これは、micromatch ライブラリで発生する UnhandledPromiseRejection エラーによるサービス拒否 (DoS) の脆弱性です。攻撃者は、特定のパスに特定の要求を送信することで、Node.js プロセスとサーバーをクラッシュさせることができます。これにより、サービスの中断や http-proxy-middleware を使用している Web アプリケーションの利用不能につながる可能性があります。CVSS の深刻度は 7.5 で、高いリスクを示しています。このリスクを軽減するために、パッケージを更新することが重要です。

悪用の状況

攻撃者は、http-proxy-middleware によって処理される特定のルートに一連の注意深く作成された要求を送信することで、この脆弱性を悪用する可能性があります。これらの要求は、micromatch 内の UnhandledPromiseRejection エラーをトリガーするように設計されており、その結果、Node.js プロセスが終了します。悪用の難易度は、サーバーの構成と脆弱なルートの公開状態によって異なります。別のコンポーネントの脆弱性を介して内部ネットワークにアクセスできる攻撃者は、この弱点を悪用してサービスを中断する可能性があります。DoS 脆弱性の性質上、目的はデータを盗むことではなく、単にサービスをアクセス不能にすることです。

リスク対象者翻訳中…

Applications and services relying on http-proxy-middleware as a reverse proxy or API gateway are at risk. This includes Node.js applications using this package for request routing and transformation. Shared hosting environments where multiple applications share the same Node.js process are particularly vulnerable, as a single compromised application could impact all others.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep 'node' | grep http-proxy-middleware

• nodejs / server:

  npm list http-proxy-middleware

• nodejs / server: Monitor Node.js process logs for UnhandledPromiseRejection errors related to micromatch. • nodejs / server: Use a process monitoring tool (e.g., PM2, systemd) to automatically restart the Node.js process if it crashes.

攻撃タイムライン

2024-10-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard91% まだ脆弱

EPSS

0.35% (58% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントhttp-proxy-middleware

ベンダーosv

影響範囲修正版

0.0.1 – 2.0.62.0.7

3.0.0 – 3.0.23.0.3

—2.0.7

弱点分類 (CWE)

CWE-400

タイムライン

予約済み2023-12-22
公開日2024-10-19
更新日2026-02-04
EPSS 更新日2026-04-02

公開後-12日でパッチ適用

緩和策と回避策

CVE-2024-21536 を軽減するための解決策は、http-proxy-middleware パッケージをバージョン 2.0.7 以降、またはバージョン 3.0.3 以降に更新することです。これにより、DoS 脆弱性の悪用を可能にする micromatch 内の UnhandledPromiseRejection エラーが修正されます。システムを保護するために、できるだけ早くこの更新を実行することをお勧めします。さらに、悪用の試みが示唆される可能性のあるサーバーログに異常なパターンがないか監視してください。直ちに更新できない場合は、ファイアウォールルールを実装して、脆弱なルートへのアクセスを制限することを検討してください。ただし、これは完全な解決策ではありません。

修正方法翻訳中…

Actualice el paquete http-proxy-middleware a la versión 2.0.7 o superior, o a la versión 3.0.3 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por un error UnhandledPromiseRejection. Ejecute `npm install http-proxy-middleware@latest` o `yarn add http-proxy-middleware@latest` para obtener la versión más reciente.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-21536 とは何ですか？（http-proxy-middleware の Denial of Service (DoS)）

これは、HTTP プロキシを作成できる Node.js ミドルウェアです。開発目的や Web アプリケーションの保護のために、他のサーバーへの要求を転送するために一般的に使用されます。

http-proxy-middleware の CVE-2024-21536 による影響を受けていますか？

DoS とは、攻撃者が通常、システムをトラフィックまたは要求で過負荷にすることで、正規のユーザーがサービスを利用できなくする試みを指します。

http-proxy-middleware の CVE-2024-21536 を修正するにはどうすればよいですか？

ターミナルで npm list http-proxy-middleware コマンドを使用すると、バージョンを確認できます。

CVE-2024-21536 は積極的に悪用されていますか？

すぐに更新できない場合は、ファイアウォールルールを実装して脆弱なルートへのアクセスを制限し、サーバーログを監視することを検討してください。

CVE-2024-21536 に関する http-proxy-middleware の公式アドバイザリはどこで確認できますか？

はい、npm audit や yarn audit などのツールがあり、依存関係を脆弱性でスキャンし、更新を提案できます。