プラットフォーム
nodejs
コンポーネント
lodash
修正版
4.18.0
4.18.0
4.18.0
4.18.0
4.18.0
CVE-2026-2950 は、lodash ライブラリの .unset および .omit 関数におけるプロトタイプ汚染の脆弱性です。この脆弱性を悪用されると、攻撃者は Object.prototype、Number.prototype、String.prototype などの組み込みプロトタイプのプロパティを削除することが可能です。影響を受けるバージョンは lodash 4.17.23 以前です。4.18.0 以降のバージョンで修正されています。
CVE-2026-2950 は、Lodash のバージョン 4.17.23 以前に影響を与え、.unset および .omit 関数でプロトタイプ汚染の脆弱性を導入します。 CVE-2025-13465 のための修正は、この問題を軽減することを目的としていましたが、文字列キーメンバーのみを保護していました。攻撃者は、配列でラップされたパスセグメントを渡すことで、このチェックを回避できます。これにより、Object.prototype、Number.prototype、String.prototype などの組み込みプロトタイプからプロパティを削除できるようになり、Lodash を使用するアプリケーションの安定性とセキュリティが損なわれます。この脆弱性の重大度は、CVSS に従って 6.5 と評価されています。プロトタイプの操作は、予期しない動作、実行時エラー、および悪意のあるコードの実行につながる可能性があります。
この脆弱性は、.unset または .omit にキーの配列で構成されるパスを提供することで悪用されます。このパスが不適切に処理されると、オブジェクト、数値、または文字列プロトタイプのプロパティの変更または削除が可能になります。たとえば、攻撃者は Object.prototype の toString プロパティを削除し、アプリケーション全体でオブジェクトから文字列への変換でエラーが発生する可能性があります。悪用は比較的簡単で、特別な特権は必要なく、広範囲にわたる攻撃のリスクを高めます。悪用のコンテキストは、Lodash を使用するアプリケーションと、攻撃者が脆弱な関数の入力の制御能力に依存します。
Applications built with Node.js that utilize Lodash, particularly those that accept user-supplied data and pass it directly to .unset or .omit functions, are at significant risk. Projects relying on older versions of Lodash within complex JavaScript ecosystems are also vulnerable, as are developers who have not kept their dependencies up-to-date.
• nodejs:
npm list lodashThis command will list installed Lodash versions. Check if the version is below 4.18.0. • nodejs:
find node_modules -name "lodash.js" -print0 | xargs -0 grep -i "_.unset" -lThis searches for files containing .unset within the nodemodules directory, indicating potential usage of the vulnerable function.
• generic web:
Inspect application logs for unusual errors or exceptions related to prototype properties. Look for patterns suggesting property deletion or modification.
• generic web:
Review application code for instances of .unset and .omit where user-supplied input is used to construct the path segments.
disclosure
エクスプロイト状況
EPSS
0.06% (17% パーセンタイル)
CISA SSVC
推奨される解決策は、Lodash のバージョン 4.18.0 以降にアップグレードすることです。このバージョンには、配列でラップされたものを含むすべてのキータイプを正しく検証することで、プロトタイプ汚染の脆弱性を解決する修正が含まれています。最新バージョンへのアップグレードがすぐに不可能な場合は、.unset および .omit を使用しているコードを徹底的にレビューし、悪用されやすいパターンがないか確認することをお勧めします。これらの関数の入力に対する追加の検証を実装することで、リスクを軽減できますが、完全な解決策ではありません。アプリケーションの異常な動作を監視することも重要です。
Actualice la biblioteca lodash a la versión 4.18.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de prototype pollution. Ejecute `npm install lodash@latest` o `yarn add lodash@latest` para actualizar.
脆弱性分析と重要アラートをメールでお届けします。
これは、オブジェクトタイプのすべてのインスタンスに影響を与える、オブジェクトタイプのプロトタイププロパティの変更を可能にする脆弱性です。
予期しない動作、実行時エラー、さらには悪意のあるコードの実行につながる可能性があります。
コードを徹底的にレビューし、.unset および .omit の入力に対する追加の検証を実装することを検討してください。
脆弱な関数の使用と疑わしいコードパターンを識別するのに役立つ静的コード分析ツールがあります。
依存関係を最新の状態に保ち、定期的なセキュリティレビューを実施し、安全なコーディングのベストプラクティスに従ってください。
CVSS ベクトル