HIGHCVE-2026-4867CVSS 7.5

path-to-regexp は、単一セグメント内の複数のルートパラメータによって、正規表現のDoS (Denial of Service) の脆弱性があります

プラットフォーム

nodejs

コンポーネント

path-to-regexp

修正版

0.1.13

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4867は、Node.jsのpath-to-regexpライブラリにおけるサービス拒否（DoS）脆弱性です。パラメータが3つ以上ある正規表現セグメントにおいて、悪意のある入力により正規表現が生成され、バックトラックを引き起こし、サービスを停止させる可能性があります。この脆弱性はpath-to-regexpのバージョン0.1.12以前に影響を与え、バージョン0.1.13へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がpath-to-regexpを使用するNode.jsアプリケーションに対してDoS攻撃を実行することを可能にします。攻撃者は、特定のパラメータを持つ悪意のある正規表現を生成し、アプリケーションを過剰なバックトラックに陥らせ、リソースを枯渇させ、サービスを停止させることができます。攻撃の影響範囲は、アプリケーションの重要性と可用性によって異なります。この脆弱性は、類似の正規表現エンジンにおけるバックトラック攻撃と同様のパターンを示しています。

悪用の状況

CVE-2026-4867は、2026年3月27日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、DoS攻撃の可能性は高く、攻撃者による悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Applications built with Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices that rely on this package for handling incoming requests. Projects using older versions of path-to-regexp are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list path-to-regexp

• nodejs / server:

npm audit path-to-regexp

• nodejs / server:

  grep -r 'path-to-regexp' package.json

攻撃タイムライン

2026-03-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

NextGuard100% まだ脆弱

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

影響を受けるソフトウェア

コンポーネントpath-to-regexp

ベンダーosv

影響範囲修正版

0 – 0.1.130.1.13

—0.1.13

弱点分類 (CWE)

CWE-1333

タイムライン

予約済み2026-03-25
公開日2026-03-27
更新日2026-03-31
EPSS 更新日2026-04-03

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、path-to-regexpライブラリをバージョン0.1.13以上にアップグレードすることです。アップグレードがアプリケーションに影響を与える場合は、一時的な回避策として、入力パラメータの数を制限するなどの対策を検討してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のある正規表現パターンを検出およびブロックすることも有効です。将来の同様の脆弱性を防ぐために、正規表現の設計と検証を徹底することが重要です。アップグレード後、アプリケーションをテストし、DoS攻撃に対する耐性を確認してください。

修正方法

path-to-regexp ライブラリのバージョンを 0.1.13 以降にアップデートしてください。アップデートできない場合は、単一セグメント内の最初のパラメータ以降のパラメータに対してカスタムの正規表現を提供できます。別の代替手段として、URLの長さを制限できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4867 — DoS in path-to-regexpとは何ですか？

CVE-2026-4867は、Node.jsのpath-to-regexpライブラリにおける正規表現のDoS脆弱性です。悪意のある入力により、アプリケーションが過剰なバックトラックに陥り、サービスを停止させる可能性があります。

CVE-2026-4867 in path-to-regexpに影響を受けますか？

Node.jsアプリケーションでpath-to-regexpのバージョン0.1.12以前を使用している場合、影響を受ける可能性があります。バージョン0.1.13以上にアップグレードすることで修正できます。

CVE-2026-4867 in path-to-regexpを修正するにはどうすればよいですか？

path-to-regexpライブラリをバージョン0.1.13以上にアップグレードしてください。アップグレードがアプリケーションに影響を与える場合は、一時的な回避策として、入力パラメータの数を制限するなどの対策を検討してください。

CVE-2026-4867は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、DoS攻撃の可能性は高く、攻撃者による悪用が懸念されます。

CVE-2026-4867に関するpath-to-regexpの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、path-to-regexpのGitHubリポジトリのリリースノートで確認できます：https://github.com/pillarjs/path-to-regexp/releases/tag/v.0.1.13

path-to-regexp は、単一セグメント内の複数のルートパラメータによって、正規表現のDoS (Denial of Service) の脆弱性があります

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2026-4867 — DoS in path-to-regexpとは何ですか？

CVE-2026-4867 in path-to-regexpに影響を受けますか？

CVE-2026-4867 in path-to-regexpを修正するにはどうすればよいですか？

CVE-2026-4867は積極的に悪用されていますか？

CVE-2026-4867に関するpath-to-regexpの公式アドバイザリはどこで入手できますか？

パッケージ情報

あなたのプロジェクトは影響を受けていますか?