概要
NestJS は Node.js 向け の プログレッシブ な サーバーサイド フレームワーク で あり、Express と Fastify の 2 つ の HTTP プラットフォーム を サポート して います。@nestjs/platform-fastify パッケージ の バージョン 11.1.15 以前 に おいて、GET メソッド に 登録 された ミドルウェア が HEAD リクエスト に よって 完全 に バイパス される 脆弱性(CWE-670: 常 に 不正確 な 制御 フロー 実装)が 発見 されました。この 脆弱性 の CVSS スコア は 7.5 で あり、High と 評価 されて います。
Fastify フレームワーク は HTTP 仕様 に 従い、HEAD リクエスト を 自動的 に 対応 する GET ハンドラー に リダイレクト する 機能 を 持って います。しかし、NestJS の Fastify アダプター は この 自動 リダイレクト を 考慮 して おらず、GET メソッド 用 に 登録 された ミドルウェア が HEAD リクエスト の 処理 時 に 完全 に スキップ されます。HEAD リクエスト で は レスポンス ボディ は 空 に なりますが、実際 の ハンドラー ロジック は 実行 されます。
この 脆弱性 の 影響 は、ミドルウェア の 役割 に 大きく 依存 します。認証 ミドルウェア や 認可 チェック、レート リミッティング、入力 バリデーション、CSRF トークン 検証 など の セキュリティ 関連 の ミドルウェア が GET ルート に 適用 されて いる 場合、HEAD リクエスト を 送信 する だけ で これら の 保護 を すべて 回避 できます。例えば、認証 が 必要 な API エンドポイント に 対して HEAD リクエスト を 送信 する と、認証 ミドルウェア を バイパス して ハンドラー が 実行 され、データベース 操作 や 副作用 の ある 処理 が 認証 なし で トリガー される 可能性 が あります。
レスポンス ボディ が 空 で ある ため、データ の 直接 的 な 窃取 は 困難 ですが、サイドチャネル(レスポンス ヘッダー、ステータス コード、レスポンス タイム)を 通じた 情報 漏洩 や、副作用 の ある 操作 の 不正 実行 が 現実的 な リスク と なります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-670(常 に 不正確 な 制御 フロー 実装) |
| 攻撃元 | ネットワーク |
| 攻撃 条件 | 低 |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| @nestjs/platform-fastify | 11.1.15 以前 | 11.1.16 |
修正 バージョン と 回避策
@nestjs/platform-fastify パッケージ を バージョン 11.1.16 以降 に アップデート する こと で、HEAD リクエスト に 対して も GET メソッド 用 の ミドルウェア が 正しく 適用 される よう に なります。すぐ に アップデート できない 場合 は、セキュリティ 上 重要 な ミドルウェア を NestJS の Guard や Interceptor と して 実装 し直す こと で、ミドルウェア レイヤー に 依存 しない 保護 を 確保 できます。また、Fastify の プラグイン レベル で HEAD メソッド を 明示的 に ハンドル し、必要 な チェック を 実施 する アプローチ も 暫定 的 な 回避策 と して 有効 です。
関連 リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。