プラットフォーム
nodejs
コンポーネント
tar-fs
修正版
3.0.1
2.0.1
1.16.6
3.1.1
CVE-2025-59343は、Node.jsのtar-fsファイルシステムモジュールに存在する脆弱性です。この脆弱性は、tarアーカイブを解凍する際にシンボリックリンクを適切に処理しないことに起因し、悪意のあるファイルが実行される可能性があります。影響を受けるバージョンは、Node.js v3.1.0以前、v2.1.3以前、およびv1.16.5以前です。パッチは、Node.js v3.1.1、v2.1.4、およびv1.16.6でリリースされています。
この脆弱性を悪用されると、攻撃者はNode.jsアプリケーションがtarアーカイブを解凍する際に、悪意のあるシンボリックリンクを介して任意のコードを実行できる可能性があります。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。特に、tarアーカイブを外部からの入力に基づいて解凍するアプリケーションは、攻撃を受けるリスクが高くなります。この脆弱性は、tarアーカイブの解凍処理における入力検証の不備が原因で発生しており、同様の脆弱性は他のファイルシステムライブラリや解凍ツールでも存在する可能性があります。
この脆弱性は、2025年9月24日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性情報に基づき、攻撃者による悪用が懸念されます。この脆弱性は、Node.jsアプリケーションを運用している組織にとって、早急な対応が必要なセキュリティリスクと言えます。脆弱性情報については、Mapta/BugBunny_ai氏が報告しています。
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずNode.jsをv3.1.1、v2.1.4、またはv1.16.6にアップデートすることを推奨します。アップデートが困難な場合は、tar-fsモジュールのignoreオプションを使用して、シンボリックリンクを無視するように設定することで、一時的な回避策として機能します。ignoreオプションは、ファイルとディレクトリ以外のヘッダーを無視するように設定することで、シンボリックリンクによる攻撃を防ぎます。また、WAFやプロキシサーバーを使用して、悪意のあるtarアーカイブのアップロードをブロックすることも有効です。アップデート後、tarアーカイブを解凍する処理が正常に動作することを確認してください。
Actualice la biblioteca tar-fs a la versión 3.1.1, 2.1.4 o 1.16.6, o superior. Esto corrige la vulnerabilidad de omisión de validación de enlaces simbólicos. Como alternativa, utilice la opción `ignore` para excluir archivos y directorios no esenciales.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-59343は、Node.jsのtar-fsモジュールにおける脆弱性で、シンボリックリンクの不適切な処理により、悪意のあるファイルが実行される可能性があります。
Node.jsのバージョンがv3.1.0以前、v2.1.3以前、またはv1.16.5以前を使用している場合、影響を受けます。
Node.jsをv3.1.1、v2.1.4、またはv1.16.6にアップデートしてください。アップデートが困難な場合は、ignoreオプションによる回避策を検討してください。
現時点では、具体的な悪用事例は報告されていませんが、公開されている脆弱性情報に基づき、悪用が懸念されます。
Node.jsの公式アドバイザリは、Node.jsのセキュリティに関する情報が公開されているウェブサイトで確認できます。