HIGHCVE-2025-2691CVSS 8.2

nossrf サーバーサイドリクエストフォージェリ (SSRF)

プラットフォーム

nodejs

コンポーネント

nossrf

修正版

1.0.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-2691は、Node.jsパッケージnossrfにおけるサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者は、ローカルまたは予約されたIPアドレスに解決するホスト名を指定することで、SSRF保護メカニズムを回避し、意図しないリクエストを送信する可能性があります。この脆弱性はnossrfパッケージのバージョン1.0.4以前に存在し、バージョン1.0.4で修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者は内部ネットワークリソースへの不正アクセス、機密情報の窃取、さらにはシステムへの影響を及ぼす可能性があります。例えば、内部データベースや管理インターフェースへのアクセスを試みたり、内部サービスへの攻撃の踏み台として利用される可能性があります。この脆弱性は、nossrfパッケージを利用しているアプリケーションにおいて、攻撃者が内部ネットワークをスキャンしたり、機密情報を取得したりするリスクを高めます。SSRF攻撃は、しばしば内部システムへのアクセスを可能にするため、深刻なセキュリティインシデントにつながる可能性があります。

悪用の状況

CVE-2025-2691は、2025年3月23日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Applications utilizing the nossrf Node.js package, particularly those deployed in environments with internal services accessible via HTTP or HTTPS, are at risk. Shared hosting environments where users have the ability to install and manage their own Node.js packages are also particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list nossrf

If the output shows a version less than 1.0.4, the system is vulnerable. • nodejs / server:

  npm audit nossrf

This command will identify the vulnerability and suggest an upgrade. • generic web: Review application logs for unusual outbound requests to local or reserved IP addresses. Look for patterns that suggest an attacker is attempting to bypass SSRF protection.

攻撃タイムライン

2025-03-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.14% (34% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnossrf

ベンダーosv

影響範囲修正版

0.0.0 – 1.0.31.0.4

—1.0.4

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-03-23
公開日2025-03-23
更新日2025-09-26
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、nossrfパッケージをバージョン1.0.4以降にアップデートすることを推奨します。アップデートできない場合は、WAF（Web Application Firewall）やプロキシサーバーを使用して、外部からの不正なリクエストをブロックするルールを実装することを検討してください。また、nossrfパッケージの設定において、許可するホスト名を制限するなどの対策も有効です。アップデート後、nossrfパッケージのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

nossrf パッケージのバージョンを 1.0.4 以降にアップデートしてください。これは、プロジェクトで `npm install nossrf@latest` または `yarn upgrade nossrf` を実行することで行えます。アップデートが正常に完了していることを確認してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-2691 — SSRF in nossrf Node.js Packageとは何ですか？

CVE-2025-2691は、Node.jsパッケージnossrfのバージョン1.0.4以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者は、SSRF保護メカニズムを回避し、意図しないリクエストを送信する可能性があります。

CVE-2025-2691 in nossrf Node.js Packageの影響はありますか？

はい、この脆弱性は内部ネットワークリソースへの不正アクセス、機密情報の窃取、システムへの影響を及ぼす可能性があります。

CVE-2025-2691 in nossrf Node.js Packageを修正するにはどうすればよいですか？

nossrfパッケージをバージョン1.0.4以降にアップデートしてください。アップデートできない場合は、WAFやプロキシサーバーを使用して、不正なリクエストをブロックするルールを実装することを検討してください。

CVE-2025-2691は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

CVE-2025-2691に関するnossrfの公式アドバイザリはどこで入手できますか？

nossrfの公式アドバイザリは、通常、nossrfのGitHubリポジトリまたは関連するセキュリティ情報サイトで公開されます。