つみかさね

CVE-2026-44728

High(0)

CVE-2026-44728 — @babel/plugin-transform-modules-systemjs 任意コード生成

公開日: 2026-05-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@babel/plugin-transform-modules-systemjsBabel< 7.29.4 (v7系) / < 8.0.0-alpha.13 (v8系)

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1@babel/plugin-transform-modules-systemjs のバージョンを確認する
  2. 2v7 系は 7.29.4 以降、v8 系は 8.0.0-alpha.13 以降へアップデートする
  3. 3信頼できないソースコードをコンパイルするパイプラインがある場合は入力検証を強化する

影響対象

@babel/plugin-transform-modules-systemjs 利用者(SystemJS モジュール変換使用)

補足

  • -直接依存でない場合も、npm ls @babel/plugin-transform-modules-systemjs で間接依存を確認してください
CVEBabelnpmJavaScriptコード生成ビルドツール

概要

Babel の SystemJS モジュール変換プラグイン @babel/plugin-transform-modules-systemjs において、悪意のある入力をコンパイルした際に任意のコードが生成される可能性があります(GHSA: High)。

Babel はフロントエンド開発で広く使われるコンパイラであり、CI/CD パイプラインや開発ツールチェーン経由で信頼できないソースコードをコンパイルする場合、この脆弱性が影響する可能性があります。npm パッケージのビルドスクリプトや自動コンパイルパイプラインが対象となります。

CVSS ベクトル

CVSS スコアは現在 NVD で採点中です(GHSA 深刻度: High)。

影響を受けるソフトウェア

パッケージ脆弱なバージョン修正バージョン
@babel/plugin-transform-modules-systemjs (npm)< 7.29.47.29.4
@babel/plugin-transform-modules-systemjs (npm)< 8.0.0-alpha.138.0.0-alpha.13

修正バージョンと回避策

推奨対応: npm または yarn でパッケージを最新版へアップデートしてください。

npm install @babel/plugin-transform-modules-systemjs@^7.29.4

信頼できないソースコードを Babel でコンパイルするパイプラインがある場合は、入力検証の強化やサンドボックス化を検討してください。

関連リンク

データソース: GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GHSA:https://github.com/babel/babel/security/advisories/GHSA-fv7c-fp4j-7gwp
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。