HIGHCVE-2026-29074CVSS 7.5

SVGO DoS through entity expansion in DOCTYPE (Billion Laughs)

Q: CVE-2026-29074 in svgo Node.js Image Optimizerに影響を受けますか？

svgoのバージョン2.8.1以前を使用している場合は、影響を受けます。バージョン2.8.1にアップデートすることを推奨します。

Q: CVE-2026-29074 in svgo Node.js Image Optimizerを修正するにはどうすればよいですか？

svgoをバージョン2.8.1にアップデートしてください。アップデートできない場合は、XMLファイルの入力を厳密に検証し、フィルタリングルールを実装してください。

Q: CVE-2026-29074は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

Q: CVE-2026-29074に関する公式のsvgoアドバイザリはどこで入手できますか？

公式アドバイザリは、svgoのGitHubリポジトリまたは関連するセキュリティ情報サイトで確認してください。

プラットフォーム

nodejs

コンポーネント

svgo

修正版

2.1.1

3.0.1

4.0.1

2.8.2

3.3.4

4.0.2

2.8.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-29074は、Node.jsのSVG画像最適化ツールsvgoにおけるサービス拒否（DoS）脆弱性です。カスタムXMLエンティティの処理不備が原因で、悪意のあるXMLファイルが入力されると、アプリケーションが停止したり、Node.jsプロセスがクラッシュする可能性があります。この脆弱性はsvgoバージョン2.8.1以前に影響を与え、バージョン2.8.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がsvgoに特別に細工されたXMLファイルを送信することで、サービス拒否攻撃を引き起こすことを可能にします。XMLファイルは、カスタムエンティティの展開または再帰を適切に処理しないsvgoの脆弱性を悪用し、JavaScriptヒープメモリ不足を引き起こします。これにより、アプリケーションが応答しなくなり、最悪の場合、Node.jsプロセス全体がクラッシュする可能性があります。攻撃者は、この脆弱性を利用して、ターゲットシステムをダウンさせ、利用不能にすることができます。特に、SVG画像を処理するアプリケーションやサービスをホストしている環境において、重大な影響が考えられます。

悪用の状況

この脆弱性は、2026年3月4日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、XMLパーサーの処理不備に起因するDoS攻撃の一般的なパターンに類似しています。

リスク対象者翻訳中…

Applications and services that utilize SVGO for SVG image optimization are at risk. This includes web applications, build pipelines, and any automated processes that process SVG files. Specifically, projects relying on older versions of SVGO (prior to 2.8.1) and those lacking robust input validation are particularly vulnerable.

検出手順翻訳中…

• nodejs / supply-chain: Monitor Node.js processes for excessive memory consumption and JavaScript heap out of memory errors.

ps aux | grep node | awk '{print $6, $7}' | sort -n

• nodejs / supply-chain: Check for SVGO versions prior to 2.8.1 installed in your project dependencies.

npm ls svgo

• generic web: Examine web server access logs for requests containing XML files with unusual or deeply nested custom entities. Look for patterns indicative of entity expansion attempts.

攻撃タイムライン

2026-03-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート3 件の脅威レポート

NextGuard100% まだ脆弱

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能

影響を受けるソフトウェア

コンポーネントsvgo

ベンダーosv

影響範囲修正版

>= 2.1.0, < 2.8.1 – >= 2.1.0, < 2.8.12.1.1

>= 3.0.0, < 3.3.3 – >= 3.0.0, < 3.3.33.0.1

= 4.0.0 – = 4.0.04.0.1

2.1.0 – 2.8.12.8.2

3.0.0 – 3.3.33.3.4

4.0.0 – 4.0.14.0.2

2.1.02.8.1

弱点分類 (CWE)

CWE-776

タイムライン

予約済み2026-03-03
公開日2026-03-04
更新日2026-03-10
EPSS 更新日2026-03-23

公開後1日でパッチ適用

緩和策と回避策

この脆弱性への最良の対応策は、svgoをバージョン2.8.1にアップデートすることです。アップデートできない場合は、XMLファイルの入力を厳密に検証し、カスタムエンティティの展開や再帰を制限するフィルタリングルールを実装することを検討してください。また、WAF（Web Application Firewall）を導入し、悪意のあるXMLファイルをブロックすることも有効です。Node.jsプロセスを監視し、メモリ使用量の異常を検知する仕組みを導入することも推奨されます。

修正方法翻訳中…

Actualice la biblioteca SVGO a la versión 2.8.1, 3.3.3 o 4.0.1 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML (Billion Laughs) que puede provocar una denegación de servicio.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-29074 — DoS in svgo Node.js Image Optimizerとは何ですか？

CVE-2026-29074は、Node.jsのSVG画像最適化ツールsvgoにおけるサービス拒否（DoS）脆弱性です。悪意のあるXMLファイルにより、アプリケーションがクラッシュする可能性があります。

CVE-2026-29074 in svgo Node.js Image Optimizerに影響を受けますか？