概要
npm パッケージ jsonpath の 1.3.0 より 前 の バージョン に 任意 コード インジェクション の 脆弱性 が 存在 します。ユーザー が 提供 した JSONPath 式 を static-eval モジュール で 評価 する 際、信頼 できない データ を 安全 に 処理 する 設計 に なっていません。攻撃者 は 悪意 の ある JSONPath 式 を 送信 する こと で、Node.js 環境 では リモートコード実行(RCE)、ブラウザ 環境 では クロスサイトスクリプティング(XSS)が 可能 です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー関与 | 不要 |
| CWE | CWE-94(コードインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| jsonpath | dchester | < 1.3.0 |
影響 を 受ける メソッド: .query、.nodes、.paths、.value、.parent、.apply
修正バージョンと回避策
- 修正バージョン: v1.3.0 以降
- ユーザー 入力 を JSONPath 式 として 直接 使用 している 場合 は 早急 に アップデート してください
- アップデート が 困難 な 場合、ユーザー 入力 の JSONPath 式 を ホワイトリスト で 制限 してください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。