つみかさね

CVE-2026-4800

High(8.1)

CVE-2026-4800 — Lodash _.template コードインジェクション

公開日: 2026-04-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
lodashlodash公式情報を確認

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1プロジェクトでLodashの_.templateを使用しているか確認する
  2. 2ユーザー入力を_.templateに直接渡していないか確認する
  3. 3variableオプションを明示的に指定する

影響対象

Lodash利用者

補足

  • -npmエコシステムで広く利用されているため間接的な影響に注意
CVELodashnpmコードインジェクション

概要

JavaScript ユーティリティ ライブラリ Lodash の _.template 関数 に コードインジェクション の 脆弱性 が 存在 します。variable オプション 以外 の 経路 から 任意 コード が 注入 可能 です。Lodash は npm エコシステム で 非常 に 広く 利用 されている ため、依存 している プロジェクト への 影響 を 確認 する こと を 推奨 します。

CVSS ベクトル

項目
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-94(コードインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
lodashlodash影響バージョンは公式情報を確認

修正バージョンと回避策

  • _.template に ユーザー 入力 を 直接 渡さない ように してください
  • variable オプション を 明示的 に 指定 する こと で リスク を 軽減 できます

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-4800
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。