つみかさね

CVE-2026-28794

Critical(9.8)

CVE-2026-28794 — oRPC プロトタイプ汚染によるRCE

公開日: 2026-03-11データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@orpc/clientmiddleapi< 1.13.6
CVEoRPCnpmプロトタイプ汚染RCE

概要

npm パッケージ @orpc/client の RPC JSON デシリアライザにプロトタイプ汚染(Prototype Pollution)の脆弱性が存在します。認証不要のリモート攻撃者が、細工された JSON ペイロードを送信することで Object.prototype に任意のプロパティを注入できます。

プロトタイプ汚染は JavaScript の根幹に関わる攻撃手法であり、Node.js プロセス全体に影響が及びます。汚染されたプロトタイプを通じて、認証バイパス、サービス拒否(DoS)、さらにはリモートコード実行(RCE)に至る可能性があります。oRPC を使用するサーバーサイドアプリケーションでは、攻撃者が外部から送信するリクエストだけでシステムを侵害できるため、極めて深刻な脆弱性です。

影響を受けるバージョンを使用している場合は、直ちに修正バージョンへのアップデートを行ってください。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-1321 (プロトタイプ汚染)

影響を受けるソフトウェア

製品ベンダー影響バージョン
@orpc/clientmiddleapi< 1.13.6

修正バージョンと回避策

  • 修正バージョン: @orpc/client 1.13.6
  • 暫定回避策: 信頼できないクライアントからの RPC リクエストを WAF やリバースプロキシで制限する。ただし根本対策としてパッケージの即時アップデートを強く推奨

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-28794
GitHub Advisory:https://github.com/middleapi/orpc/security/advisories/GHSA-m272-9rp6-32mc
修正コミット:https://github.com/middleapi/orpc/commit/1dba06fc6f938c2486de303c2fa096bc1c8418b5
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。