つみかさね

CVE-2025-55130

Critical(9.1)

Node.js権限モデルのファイルアクセス制限回避 CVE-2025-55130:影響範囲と対応方法

公開日: 2026-07-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Node.jsOpenJS Foundationv20 / v22 / v24 / v25 (Permission Model)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Node.jsのバージョンとPermission Modelの利用有無を確認する
  2. 2各系列の修正版へアップデートする
  3. 3権限モデル単独に依存せず、OSレベルのアクセス制御を併用する

影響対象

Node.js(Permission Model利用者)

対応不要な人

  • Node.jsのPermission Modelを使用していない
  • 各系列の修正版へ更新済みである

補足

  • -権限モデルによる分離を前提とした設計の場合、影響が大きいため優先対応を推奨します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

CVENode.jsPermission Modelシンボリックリンクパストラバーサル

30秒で判断

  • 対応すべき人: Node.js v20/v22/v24/v25でPermission Model(--permission)を利用し、ファイルアクセス制限に依存している方
  • 対応不要な人: Permission Modelを使用していない、または各系列の修正版へ更新済みの方
  • 確認コマンド: node -v でバージョン確認、起動オプションに--allow-fs-read/--allow-fs-writeを使っているか確認

概要

Node.jsのPermission Model(権限モデル)に、相対シンボリックリンクを組み合わせることで--allow-fs-readおよび--allow-fs-writeの制限を回避できる不備が見つかりました。ディレクトリとシンボリックリンクを連鎖させることで、カレントディレクトリのみアクセスを許可されたスクリプトが、許可範囲外の機密ファイルを読み書きできてしまいます。

権限モデルによる分離保証が崩れ、任意ファイルの読み書きを通じてシステム侵害につながる可能性があります。本脆弱性はNode.js v20、v22、v24、v25の権限モデル利用者に影響します。

CVSSベクトル

項目
CVSSスコア9.1
深刻度Critical
CWECWE-289 (代替パス・チャネルによる認証回避), CWE-281 (権限の不適切な保持)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Node.jsOpenJS Foundationv20 / v22 / v24 / v25(Permission Model利用時)

修正バージョンと回避策

  • 修正バージョン: 各系列の修正版(2025年12月のNode.jsセキュリティリリース)へアップデート
  • 回避策: 権限モデル単独に依存せず、OSレベルのアクセス制御やコンテナ分離を併用する

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。