概要
Storybook の開発サーバーにおいて、WebSocket 接続時の origin 検証が行われていない脆弱性が発見されました。これにより、開発者が悪意あるWebサイトを訪問した際に、ブラウザからローカルで動作している Storybook 開発サーバーへの WebSocket 接続が確立され、任意のメッセージを送信される可能性があります。
攻撃者は WebSocket メッセージ内の componentFilePath フィールドを操作することで、インジェクション攻撃を実行できます。この攻撃経路を通じて、クロスサイトスクリプティング(XSS)からリモートコード実行(RCE)へとエスカレーションが可能です。影響範囲はメジャーバージョン v7、v8、v9、v10 と広範にわたり、Storybook を開発環境で使用している多くのプロジェクトが対象となります。
開発ツールの脆弱性は本番環境に直接影響しないと軽視されがちですが、開発者の端末でのコード実行は、ソースコードの改ざんやサプライチェーン攻撃の起点となり得ます。該当バージョンを使用している場合は速やかにアップデートしてください。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.6 |
| 深刻度 | Critical |
| CWE | CWE-74 (インジェクション), CWE-79 (XSS) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Storybook | Storybook (storybookjs) | < 7.6.23 |
| Storybook | Storybook (storybookjs) | 8.x < 8.6.17 |
| Storybook | Storybook (storybookjs) | 9.x < 9.1.19 |
| Storybook | Storybook (storybookjs) | 10.x < 10.2.10 |
修正バージョンと回避策
- 修正バージョン: 各メジャーバージョンに対応した修正版へアップデートする(7.6.23 / 8.6.17 / 9.1.19 / 10.2.10)
- 暫定回避策: 開発サーバーを信頼できないネットワークに公開しない。開発中は不審なWebサイトへのアクセスを避ける
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。