30秒で判断
- 対応すべき人: Node.js v20/v22/v24/v25でPermission Model(
--permission)を利用し、ファイルアクセス制限に依存している方 - 対応不要な人: Permission Modelを使用していない、または各系列の修正版へ更新済みの方
- 確認コマンド:
node -vでバージョン確認、起動オプションに--allow-fs-read/--allow-fs-writeを使っているか確認
概要
Node.jsのPermission Model(権限モデル)に、相対シンボリックリンクを組み合わせることで--allow-fs-readおよび--allow-fs-writeの制限を回避できる不備が見つかりました。ディレクトリとシンボリックリンクを連鎖させることで、カレントディレクトリのみアクセスを許可されたスクリプトが、許可範囲外の機密ファイルを読み書きできてしまいます。
権限モデルによる分離保証が崩れ、任意ファイルの読み書きを通じてシステム侵害につながる可能性があります。本脆弱性はNode.js v20、v22、v24、v25の権限モデル利用者に影響します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.1 |
| 深刻度 | Critical |
| CWE | CWE-289 (代替パス・チャネルによる認証回避), CWE-281 (権限の不適切な保持) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Node.js | OpenJS Foundation | v20 / v22 / v24 / v25(Permission Model利用時) |
修正バージョンと回避策
- 修正バージョン: 各系列の修正版(2025年12月のNode.jsセキュリティリリース)へアップデート
- 回避策: 権限モデル単独に依存せず、OSレベルのアクセス制御やコンテナ分離を併用する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
