概要
Effect TypeScript ライブラリのバージョン 3.20.0 未満において、RpcServer.toWebHandler の AsyncLocalStorage 実装に競合状態(Race Condition)が存在します。Next.js App Router と組み合わせて使用した場合、auth() 関数が別のユーザーのセッション情報を返してしまう可能性があります。これにより、認証されたユーザー間でセッション情報が混在し、権限昇格やデータ漏洩につながるおそれがあります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.4 (High) |
| CWE | CWE-362(競合状態) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 高 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- Effect TypeScript 3.20.0 未満(Next.js App Router との併用時)
修正バージョンと回避策
バージョン 3.20.0 で修正されています。npm update effect または yarn upgrade effect で最新版にアップデートしてください。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。