Vaadin: 特殊に細工されたZIPアーカイブは、意図された展開ディレクトリから抜け出す可能性があります

この脆弱性は、攻撃者がVaadinのビルドプロセスにおけるNode.jsのダウンロードを制御できる場合に悪用される可能性があります。例えば、DNSハイジャック、MITM攻撃、または改ざんされたミラーサーバーを通じて悪意のあるZIPアーカイブを提供することで、攻撃者はシステム上の任意の場所にファイルを書き込むことが可能になります。これにより、機密情報の窃取、システムの改ざん、さらにはリモートコード実行につながる可能性があります。特に、Vaadinアプリケーションが機密情報を扱う場合、この脆弱性の影響は甚大です。攻撃者は、設定ファイルやデータベースファイルへのアクセスを試み、重要なデータを盗み出す可能性があります。

Organizations using Vaadin Flow Project in their web applications, particularly those relying on automated Node.js downloads during the build process, are at risk. Shared hosting environments where users have limited control over the build process are also particularly vulnerable.

• java / server:

find /path/to/vaadin/installation -name "flow-project*" -type d -print0 | xargs -0 grep -i 'path traversal'

• generic web:

curl -I <your_vaadin_application_url> | grep -i 'X-Content-Type-Options: nosniff'

1. 2026-03-10Disclosure

   disclosure

1. 予約済み2026-02-19
2. 公開日2026-03-10
3. 更新日2026-03-14
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まず、Vaadin Flow Projectをバージョン14.14.1以降にアップデートすることを推奨します。アップデートが困難な場合は、Node.jsのダウンロード元を信頼できるソースに限定し、ダウンロードされたアーカイブの整合性を検証する仕組みを導入することを検討してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるZIPアーカイブのダウンロードをブロックすることも有効です。さらに、ファイル書き込み権限を最小限に抑え、アクセス制御を強化することで、攻撃の影響範囲を限定することができます。