HIGHCVE-2025-50180CVSS 7.5

esm.sh はフルレスポンス SSRF に脆弱です

プラットフォーム

コンポーネント

github.com/esm-dev/esm.sh

修正版

136.0.1

0.0.0-20250616164159-0593516c4cfa

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-50180は、Go言語で記述されたesm.shにおいて、フルレスポンス型SSRF脆弱性が存在します。この脆弱性を悪用されると、攻撃者は内部ネットワーク上のウェブサイトから機密情報を不正に取得することが可能になります。影響を受けるバージョンは特定されていませんが、バージョン0.0.0-20250616164159-0593516c4cfaで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がesm.shを経由して内部ネットワークにアクセスすることを可能にします。攻撃者は、内部ウェブサイトのファイルやAPIを読み出し、機密情報を盗み出す可能性があります。例えば、内部の管理コンソールやデータベースへのアクセスを試み、認証情報を取得したり、データを改ざんしたりする可能性があります。この脆弱性は、内部ネットワークの境界を突破し、より広範なシステムへの攻撃の足がかりとなる可能性があります。攻撃者は、内部ネットワーク内の他のシステムをスキャンし、さらなる脆弱性を発見する可能性があります。

悪用の状況

この脆弱性は、2026年2月25日に公開されました。現時点では、KEVに登録されていません。公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、注意が必要です。攻撃者は、内部ネットワークの情報を収集し、脆弱性を特定するために、この脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Organizations heavily reliant on esm.sh for JavaScript module resolution, particularly those with sensitive internal resources accessible via HTTP, are at risk. Environments with less stringent network segmentation policies are also more vulnerable, as an attacker could potentially leverage the SSRF to reach deeper into the internal network.

検出手順翻訳中…

• linux / server:

journalctl -u esm-sh -g 'SSRF' | grep -i 'local.site'

• generic web:

curl -I https://esm.sh/https://local.site/test.md | grep -i 'local.site'

攻撃タイムライン

2026-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントgithub.com/esm-dev/esm.sh

ベンダーosv

影響範囲修正版

= 136 – = 136136.0.1

—0.0.0-20250616164159-0593516c4cfa

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-06-13
公開日2026-02-25
更新日2026-02-28
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性に対する直接的な修正は、esm.shのバージョンを0.0.0-20250616164159-0593516c4cfaにアップデートすることです。アップデートが利用できない場合は、リバースプロキシやWAFを使用して、esm.shへのアクセスを制限し、悪意のあるリクエストをフィルタリングすることを検討してください。特に、ファイル拡張子（.js, .ts, .mjs, など）を含むリクエストを厳しく監視し、ブロックすることが重要です。また、内部ネットワークへのアクセスを最小限に抑えるように、ネットワークセグメンテーションを強化することも有効です。

修正方法

esm.sh のバージョンをバージョン 137 以降にアップデートしてください。これにより、内部ウェブサイトからの情報取得を可能にする SSRF 脆弱性が修正されます。npm または yarn パッケージマネージャーを使用してパッケージをアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-50180 — SSRF in esm.shとは何ですか？

CVE-2025-50180は、esm.shにおいて攻撃者が内部サイトから情報を盗み出す可能性のあるSSRF脆弱性です。CVSSスコアは7.5（HIGH）で、深刻な影響を与える可能性があります。

CVE-2025-50180 in esm.shに影響を受けますか？

esm.shを利用している環境は、この脆弱性に影響を受ける可能性があります。特に、内部ネットワークへのアクセスを許可している環境は注意が必要です。

CVE-2025-50180 in esm.shを修正するにはどうすればよいですか？

esm.shのバージョンを0.0.0-20250616164159-0593516c4cfaにアップデートしてください。アップデートができない場合は、WAFやリバースプロキシでアクセスを制限することを検討してください。

CVE-2025-50180は積極的に悪用されていますか？

現時点では、CVE-2025-50180の悪用事例は確認されていませんが、SSRF脆弱性は悪用が容易であるため、注意が必要です。

CVE-2025-50180に関するesm.shの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、esm.shのGitHubリポジトリで確認できます。https://github.com/esm-dev/esm.sh