Nest が Recursive handleData を介して DoS に影響を受ける (JsonSocket (TCP Transport))

この脆弱性は、攻撃者が@nestjs/microservicesを利用するアプリケーションに対してDoS攻撃を実行することを可能にします。攻撃者は、大量のJSONメッセージを送信することで、サーバーのリソースを枯渇させ、アプリケーションの応答を遅延させたり、完全に停止させたりする可能性があります。47KB程度のペイロードでコールスタックオーバーフローを誘発できるため、比較的容易に攻撃を実行できる可能性があります。この攻撃は、マイクロサービスアーキテクチャを採用している環境において、特に深刻な影響を及ぼす可能性があります。

Applications built with NestJS that utilize the @nestjs/microservices package and are running versions prior to 11.1.19 are at risk. This includes microservices architectures and applications relying on TCP-based communication for inter-service communication. Specifically, deployments with limited resources or those handling high volumes of incoming requests are more vulnerable.

• nodejs / server:

  npm list @nestjs/microservices

• nodejs / server:

  ps aux | grep -i microservices | grep -i json

• nodejs / server:

  journalctl -u your-nestjs-app -f | grep -i RangeError

1. 2026-04-14Disclosure

   disclosure

2. 2026-04-14Patch

   patch

1. 予約済み2026-04-15
2. 公開日2026-04-14
3. 更新日2026-04-27
4. EPSS 更新日2026-04-29

この脆弱性への対応策として、まず@nestjs/microservicesをバージョン11.1.19以上にアップデートすることを推奨します。アップデートが困難な場合は、一時的な緩和策として、WAF（Web Application Firewall）やリバースプロキシで、異常な量のJSONメッセージを受信するリクエストをブロックするルールを実装することを検討してください。また、Node.jsアプリケーションのプロセス監視を強化し、異常なCPU使用率やメモリ消費を検知した場合に自動的にプロセスを再起動する仕組みを導入することも有効です。アップデート後、アプリケーションの正常性を確認し、DoS攻撃に対する耐性をテストしてください。