HIGHCVE-2026-23644CVSS 7.5

esm.sh の extractPackageTarball におけるパス・トラバーサルにより、悪意のあるパッケージからファイル書き込みが可能

Q: CVE-2026-23644 — パス・トラバーサルはesm.shで何ですか？

CVE-2026-23644は、esm.shにおいて、攻撃者が任意のファイルにアクセスできるパス・トラバーサル脆弱性です。

Q: CVE-2026-23644 in esm.shで影響を受けますか？

esm.shのバージョンが136以下の場合、この脆弱性の影響を受けます。

Q: CVE-2026-23644 in esm.shを修正するにはどうすればよいですか？

esm.shをバージョン0.0.0-20260116051925-c62ab83c589e以上にアップデートしてください。

Q: CVE-2026-23644は積極的に悪用されていますか？

現時点では、KEVに登録されていませんが、PoCが存在するため、悪用される可能性があります。

Q: CVE-2026-23644のesm.sh公式アドバイザリはどこで入手できますか？

github.com/esm-dev/esm.shのコミット履歴を参照してください: https://github.com/esm-dev/esm.sh/commit/9d77b88c320733ff6689d938d85d246a3af9af16

プラットフォーム

コンポーネント

github.com/esm-dev/esm.sh

修正版

0.0.1

136.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-23644は、github.com/esm-dev/esm.shにおいてパス・トラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者はシステム上の任意のファイルにアクセスできる可能性があります。影響を受けるバージョンはesm.shのバージョン136以下です。2026年1月16日に修正バージョンがリリースされました。

影響と攻撃シナリオ

この脆弱性は、攻撃者がesm.shの処理パイプラインを介してシステム上の任意のファイルにアクセスすることを可能にします。悪意のあるtarファイルをアップロードすることで、攻撃者は/etc/passwdやその他の機密ファイルへのアクセスを試み、システム設定やユーザー認証情報を盗み出す可能性があります。この脆弱性は、特にesm.shを依存関係解決に利用しているプロジェクトにおいて、サプライチェーン攻撃のリスクを高めます。類似の脆弱性は、tarアーカイブの処理における入力検証の不備から発生することがあります。

悪用の状況

この脆弱性は、2026年1月20日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。公開されているPoC（Proof of Concept）が存在するため、悪用される可能性はあります。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を確認し、最新の動向を把握することが重要です。

リスク対象者翻訳中…

Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using esm.sh as a CDN or module resolver. Developers who have integrated esm.sh into their build processes or deployment pipelines should prioritize upgrading to the patched version.

検出手順翻訳中…

• linux / server:

journalctl -u esm.sh -f | grep -i "path traversal"

• generic web:

curl -I <esm.sh_endpoint> | grep -i "path traversal"

攻撃タイムライン

2026-01-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.10% (28% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントgithub.com/esm-dev/esm.sh

ベンダーosv

影響範囲修正版

< 0.0.0-20260116051925-c62ab83c589e – < 0.0.0-20260116051925-c62ab83c589e0.0.1

0.0.1 – 136136.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-14
公開日2026-01-20
更新日2026-02-27
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、esm.shをバージョン0.0.0-20260116051925-c62ab83c589e以上にアップデートすることです。もしアップデートが困難な場合は、esm.shの利用を一時的に停止するか、信頼できるソースからのパッケージのみを使用するように制限してください。WAF（Web Application Firewall）を導入し、悪意のあるtarファイルのアップロードを検知・ブロックすることも有効です。また、esm.shのログを監視し、異常なファイルアクセスを検出するためのルールを設定することも推奨されます。

修正方法翻訳中…

Actualice el paquete esm.sh a la versión 0.0.0-20260116051925-c62ab83c589e o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura de archivos desde paquetes maliciosos. Utilice el gestor de paquetes npm o yarn para realizar la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-23644 — パス・トラバーサルはesm.shで何ですか？