概要
express-rate-limit は npm エコシステム で 広く 利用 されて いる Express.js 向け の レート制限 ミドルウェア です。IPv4 マップド IPv6 アドレス(例: ::ffff:127.0.0.1)の 処理 に 問題 が あり、全て の IPv4 クライアント が 単一 の レート制限 バケット を 共有 して しまう 脆弱性 が 存在 します。
CWE-770(Allocation of Resources Without Limits or Throttling)に 分類 される この 問題 に より、正当 な ユーザー が 他 の ユーザー の リクエスト に よって レート制限 に 到達 して しまい、サービス拒否 状態 が 発生 する 可能性 が あります。また、レート制限 が 意図 通り に 機能 しない ため、ブルートフォース 攻撃 の 防御 が 弱体化 します。
express-rate-limit を 使用 して いる Node.js アプリケーション で は、速やか な アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-770 (制限なしのリソース割り当て) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| express-rate-limit | express-rate-limit (npm) | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: express-rate-limit の 最新 バージョン へ アップデート
- 暫定回避策: カスタム keyGenerator を 設定 し、IPv4 マップド IPv6 アドレス を 正規化 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。