概要
Locutus は PHP の 組み込み 関数 を JavaScript に 移植 した npm パッケージ です。バージョン 3.0.14 より 前 の create_function(args, code) 実装 に おいて、引数 が サニタイズ されず に JavaScript の Function コンストラクタ に 直接 渡される 脆弱性 が 存在 します。
CWE-94(コード インジェクション)に 分類 される この 問題 に より、攻撃者 が 制御 する 入力 が create_function に 渡さ れた 場合、任意 の JavaScript コード が 実行 されます。サーバーサイド で 使用 して いる 場合 は リモート コード 実行(RCE)に つながる 深刻 な リスク が あります。
なお、本 脆弱性 は v2.x 系 の eval() に 起因 する CVE-2026-29091 と は 異なる 脆弱性 です。Locutus 3.x 系 を 使用 して いる 環境 で は、速やか に 3.0.14 以降 へ アップデート して ください。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-94 (コードインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Locutus | locutusjs | 3.0.14 未満 |
修正バージョンと回避策
- 修正バージョン: Locutus 3.0.14 以降 へ の アップデート
- 暫定回避策:
create_functionを 使用 して いる コード を 特定 し、ネイティブ の JavaScript 関数 や アロー 関数 に 書き換える。外部 入力 がcreate_functionに 渡さ れない よう に 入力 バリデーション を 実施 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。