HIGHCVE-2025-8020CVSS 8.2

private-ip は Server-Side Request Forgery (SSRF) の脆弱性を持っています

プラットフォーム

nodejs

コンポーネント

private-ip

修正版

3.0.3

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-8020は、Node.jsパッケージであるprivate-ipにおいて検出されたサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。この脆弱性を悪用されると、攻撃者は不正なリクエストを送信し、機密情報へのアクセスやシステムへの影響を引き起こす可能性があります。影響を受けるバージョンは3.0.2以前です。現在、バージョン3.0.3以降で修正が提供されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がprivate-ipパッケージが処理するリクエストを制御することを可能にします。攻撃者は、内部ネットワークリソースへのアクセスを試みたり、機密情報を盗み出したり、さらには他のシステムへの攻撃の足がかりとして利用する可能性があります。マルチキャストIPアドレスの不正利用は、ネットワークトラフィックの混乱や、DoS攻撃につながる可能性も考慮する必要があります。この脆弱性は、特にprivate-ipパッケージが外部からの入力を直接処理する場合に深刻な影響を及ぼします。

悪用の状況

CVE-2025-8020は、2025年7月23日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Applications and services that rely on the private-ip Node.js package for IP address manipulation are at risk. This includes internal tools, APIs, and microservices that process IP addresses as part of their functionality. Specifically, deployments using older versions of Node.js and relying on outdated package versions are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list private-ip

This command will list the installed version of the private-ip package. Check if the version is less than or equal to 3.0.2. • nodejs / server:

  grep -r 'private-ip' package.json

Search for the package in your project's package.json file to identify dependencies. • generic web: Review application logs for unusual outbound requests to multicast IP addresses (224.0.0.0/4).

攻撃タイムライン

2025-07-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントprivate-ip

ベンダーosv

影響範囲修正版

0.0.0—

3.0.23.0.3

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-07-22
公開日2025-07-23
更新日2025-09-25
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずprivate-ipパッケージをバージョン3.0.3以降にアップデートすることを強く推奨します。アップデートが困難な場合は、入力検証を強化し、許可されていないIPアドレス範囲からのリクエストを拒否するルールを実装してください。WAF（Web Application Firewall）を使用している場合は、SSRF攻撃を検知・防御するためのルールを設定することも有効です。また、ネットワークセグメンテーションを実施し、内部リソースへのアクセスを制限することも、攻撃の影響範囲を限定する上で重要です。

修正方法

private-ip パッケージを最新バージョンにアップデートしてください。これにより、プライベート IP 範囲リストにマルチキャストアドレスを含めることで SSRF 脆弱性が修正されます。`npm install private-ip@latest` または `yarn upgrade private-ip@latest` を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-8020 — SSRF in private-ipパッケージとは何ですか？

CVE-2025-8020は、Node.jsパッケージprivate-ipのバージョン3.0.2以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者はこの脆弱性を悪用して、不正なリクエストを送信し、内部リソースへのアクセスを試みることができます。

CVE-2025-8020 in private-ipパッケージの影響を受けていますか？

Node.jsアプリケーションでprivate-ipパッケージのバージョン3.0.2以前を使用している場合は、影響を受けている可能性があります。バージョン3.0.3以降にアップデートすることを推奨します。

CVE-2025-8020 in private-ipパッケージを修正するにはどうすればよいですか？

private-ipパッケージをバージョン3.0.3以降にアップデートしてください。アップデートが困難な場合は、入力検証を強化し、許可されていないIPアドレス範囲からのリクエストを拒否するルールを実装してください。

CVE-2025-8020は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

CVE-2025-8020に関するprivate-ipパッケージの公式アドバイザリはどこで入手できますか？

private-ipパッケージの公式アドバイザリは、通常、GitHubリポジトリまたは関連するセキュリティ情報サイトで公開されます。詳細については、private-ipパッケージのドキュメントを参照してください。