HIGHCVE-2024-52798CVSS 7.5

path-to-regexp に ReDoS が含まれています

Q: CVE-2024-52798 とは何ですか？（path-to-regexp）

バックトラッキングは、正規表現エンジンが一致を見つけるために従うプロセスです。この場合、構築が不十分な正規表現はバックトラッキングループに入り、システムリソースが使い果たされるまで複数の組み合わせを試行する可能性があります。

Q: path-to-regexp の CVE-2024-52798 による影響を受けていますか？

バージョン0.1.12は、過剰なバックトラッキングが発生しやすい正規表現の生成を防ぐことで脆弱性を修正します。リスクを軽減する最も安全な方法はアップグレードです。

Q: path-to-regexp の CVE-2024-52798 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、ドット以外のセパレータを使用する単一のパスセグメント内で2つのパラメータを使用しないという代替軽減策を適用してください。

Q: CVE-2024-52798 は積極的に悪用されていますか？

0.1.12より前のバージョンの`path-to-regexp`を使用しており、複数のパラメータと複雑なセパレータを使用しているルートがある場合は、脆弱である可能性が高いです。

Q: CVE-2024-52798 に関する path-to-regexp の公式アドバイザリはどこで確認できますか？

代替軽減策は、パフォーマンスにわずかな影響を与える可能性がありますが、脆弱性によって引き起こされるサービス拒否よりも優れています。

プラットフォーム

nodejs

コンポーネント

path-to-regexp

修正版

0.1.13

0.1.12

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-52798は、path-to-regexpライブラリの0.1.12より前のバージョンに存在する、正規表現のバックトラッキングによるサービス拒否(DoS)の脆弱性です。この脆弱性を悪用されると、攻撃者は正規表現エンジンに過剰な負荷をかけ、サービス停止を引き起こす可能性があります。影響を受けるのはpath-to-regexpの0.1.12より前のバージョンです。この問題はバージョン0.1.12で修正されています。

影響と攻撃シナリオ

path-to-regexpのCVE-2024-52798脆弱性は、過剰なバックトラッキングを引き起こす可能性のある正規表現の生成に起因します。これは、0.1.12より前のバージョンに影響します。攻撃者はこの脆弱性を悪用して、悪意のあるパターンとの一致を試行中にシステムが過剰なCPUリソースを消費するように強制し、サービス拒否（DoS）を引き起こす可能性があります。CVSSの深刻度は7.5で、高いリスクを示しています。この脆弱性は、元のレポートCVE-2024-45296に関連しており、同じ根本的な問題に関連する進化または追加の発見を示唆しています。

悪用の状況

この脆弱性は、path-to-regexpが過剰なバックトラッキングを許可する正規表現を生成する場合に発生します。これは、複数のパラメータと複雑なセパレータでルートを定義する場合に発生する可能性があります。攻撃者は、正規表現が複数の組み合わせを試行し、システムリソースを使い果たさせるように設計された慎重に作成された入力を提供できます。これは、高負荷環境では特に懸念される問題であり、サービス拒否は大きな影響を与える可能性があります。

リスク対象者翻訳中…

Applications built on Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices. Projects relying on older versions of path-to-regexp without proper input validation are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list path-to-regexp

• nodejs / server:

  npm audit path-to-regexp

• nodejs / server:

  grep -r 'path-to-regexp' ./node_modules

攻撃タイムライン

2024-12-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard100% まだ脆弱

EPSS

0.22% (44% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントpath-to-regexp

ベンダーosv

影響範囲修正版

< 0.1.12 – < 0.1.120.1.13

—0.1.12

弱点分類 (CWE)

CWE-1333

タイムライン

予約済み2024-11-15
公開日2024-12-05
更新日2026-02-04
EPSS 更新日2026-04-02

公開後1日でパッチ適用

緩和策と回避策

推奨される解決策は、path-to-regexpをバージョン0.1.12にアップグレードすることです。アップグレードがすぐに不可能な場合は、代替策として、セパレータがドット（.）ではない場合、単一のパスセグメント内で2つのパラメータを使用しないようにしてください。たとえば、/:a-:bのようなパターンを避けてください。あるいは、両方のパラメータに使用される正規表現を明示的に定義し、バックトラッキングを防ぐためにそれらが重複しないようにしてください。この軽減策は、攻撃者が問題をトリガーするパターンを作成する可能性を低減します。

修正方法翻訳中…

Actualice la biblioteca path-to-regexp a la versión 0.1.12 o superior. Esto solucionará la vulnerabilidad ReDoS. Ejecute `npm install path-to-regexp@latest` o `yarn add path-to-regexp@latest` para actualizar.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-52798 とは何ですか？（path-to-regexp）

バックトラッキングは、正規表現エンジンが一致を見つけるために従うプロセスです。この場合、構築が不十分な正規表現はバックトラッキングループに入り、システムリソースが使い果たされるまで複数の組み合わせを試行する可能性があります。

path-to-regexp の CVE-2024-52798 による影響を受けていますか？

バージョン0.1.12は、過剰なバックトラッキングが発生しやすい正規表現の生成を防ぐことで脆弱性を修正します。リスクを軽減する最も安全な方法はアップグレードです。

path-to-regexp の CVE-2024-52798 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、ドット以外のセパレータを使用する単一のパスセグメント内で2つのパラメータを使用しないという代替軽減策を適用してください。

CVE-2024-52798 は積極的に悪用されていますか？

0.1.12より前のバージョンのpath-to-regexpを使用しており、複数のパラメータと複雑なセパレータを使用しているルートがある場合は、脆弱である可能性が高いです。

CVE-2024-52798 に関する path-to-regexp の公式アドバイザリはどこで確認できますか？

代替軽減策は、パフォーマンスにわずかな影響を与える可能性がありますが、脆弱性によって引き起こされるサービス拒否よりも優れています。

path-to-regexp に ReDoS が含まれています

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法翻訳中…

CVEセキュリティニュースレター

よくある質問

CVE-2024-52798 とは何ですか？（path-to-regexp）

path-to-regexp の CVE-2024-52798 による影響を受けていますか？

path-to-regexp の CVE-2024-52798 を修正するにはどうすればよいですか？

CVE-2024-52798 は積極的に悪用されていますか？

CVE-2024-52798 に関する path-to-regexp の公式アドバイザリはどこで確認できますか？

パッケージ情報

あなたのプロジェクトは影響を受けていますか?