LOWCVE-2025-59437CVSS 3.2

ip (aka node-ip) パッケージ 2.0.1 以前のバージョンでは、isPublic を介して IP アドレスの値 0 が不適切にグローバルにルーティング可能と分類されるため、SSRF の脆弱性が存在する可能性があります。 NOTE: この問題は、i の不完全な修正によるものです。

プラットフォーム

nodejs

コンポーネント

修正版

2.0.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59437は、npmパッケージであるnode-ipにおいて検出されたSSRF（Server-Side Request Forgery）脆弱性です。この脆弱性は、IPアドレス0が誤ってグローバルにルーティング可能と判断されるために発生します。影響を受けるバージョンは0から2.0.1までです。開発者はバージョン2.0.2へのアップデートを推奨しています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者は内部ネットワークリソースへの不正なアクセスを試みることができます。攻撃者は、node-ipパッケージを使用するアプリケーションを通じて、本来アクセスできないはずの内部サービスやリソースにリクエストを送信することが可能になります。例えば、内部APIエンドポイントへのアクセスや、機密情報を含むファイルへのアクセスなどが考えられます。この脆弱性は、CVE-2024-29415の不完全な修正が原因で発生しており、アプリケーションのバージョンやOSによって、0への接続が127.0.0.1として扱われる場合があるため、攻撃の影響範囲は広がる可能性があります。

悪用の状況

CVE-2025-59437は、2025年9月16日に公開されました。現時点では、この脆弱性に対する公開されているPoC（Proof of Concept）は確認されていませんが、CVE-2024-29415と同様の攻撃手法が利用される可能性があります。CISAのKEV（Known Exploited Vulnerabilities）カタログへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の状況を把握することが重要です。

リスク対象者翻訳中…

Applications built on Node.js that utilize the node-ip package, particularly those deployed in shared hosting environments or those that process user-supplied IP addresses without proper validation, are at risk. Legacy applications using older versions of Node.js and the node-ip package are also vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list ip --depth=0  # Check installed version
  grep -r 'ip.isPublic(0)' . # Search for usage of vulnerable function

• generic web:

  curl -I <application_endpoint_using_ip_package> # Check response headers for unexpected internal IPs
  grep '0.0.0.0' /var/log/nginx/access.log # Monitor access logs for connections to 0.0.0.0

攻撃タイムライン

2025-09-16Disclosure
disclosure
2025-09-16Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

NextGuard100% まだ脆弱

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントip

ベンダーfedorindutny

影響範囲修正版

0.0.0 – 2.0.12.0.2

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-09-16
公開日2025-09-16
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、node-ipパッケージをバージョン2.0.2以降にアップデートすることです。アップデートが困難な場合は、WAF（Web Application Firewall）やリバースプロキシを設定し、IPアドレス0へのアウトバウンド接続をブロックすることを検討してください。また、アプリケーション側でIPアドレスの検証を強化し、信頼できないIPアドレスからのリクエストを拒否するなどの対策も有効です。アプリケーションのログを監視し、異常なリクエストパターンを検出することも重要です。

修正方法

SSRF の脆弱性を修正するために、'ip' パッケージを 2.0.1 以降のバージョンにアップデートしてください。これにより、IP アドレス 0 が誤ってパブリックアドレスとして扱われるのを防ぎます。修正の詳細については、パッケージのリリースノートまたは変更ログを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59437 — SSRF in node-ip npmパッケージとは何ですか？

CVE-2025-59437は、node-ip npmパッケージのバージョン0–2.0.1におけるSSRF脆弱性です。IPアドレス0が誤ってグローバルにルーティング可能と判断されることが原因です。

CVE-2025-59437 in node-ip npmパッケージの影響はありますか？

はい、node-ipパッケージのバージョン0–2.0.1を使用している場合、攻撃者は内部ネットワークリソースへの不正なアクセスを試みることができます。

CVE-2025-59437 in node-ip npmパッケージを修正するにはどうすればよいですか？

node-ipパッケージをバージョン2.0.2以降にアップデートしてください。アップデートが困難な場合は、WAFやリバースプロキシでIPアドレス0への接続をブロックすることを検討してください。

CVE-2025-59437は積極的に悪用されていますか？

現時点では、この脆弱性に対する公開されているPoCは確認されていませんが、同様の攻撃手法が利用される可能性があります。

CVE-2025-59437に関するnode-ip npmパッケージの公式アドバイザリはどこで入手できますか？

npmのパッケージページ（https://www.npmjs.com/package/ip）を参照してください。最新情報が公開されている可能性があります。