つみかさね

CVE-2026-48170

Critical(9)

CVE-2026-48170 — scim-patch Prototype Pollution via Unfiltered Patch Keys

公開日: 2026-06-24データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
scim-patchthomaspoignant< 0.9.1

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1npm list scim-patch でインストールされているバージョンを確認する
  2. 2npm install scim-patch@0.9.1 でアップデートする
  3. 3npm audit でその他の依存関係の脆弱性も確認する

影響対象

scim-patch v0.9.1未満を使用しているNode.jsアプリケーション

補足

  • -間接依存(transitive dependency)として含まれている場合も注意が必要です
CVEscim-patchプロトタイプ汚染npmNode.jsSCIM

概要

SCIMパッチ操作を処理するnpmパッケージ scim-patch において、パッチ処理時のキーが適切にフィルタリングされないため、プロトタイプ汚染(Prototype Pollution)が発生します。

プロトタイプ汚染は、JavaScriptオブジェクトの __proto__constructor などのプロトタイプチェーンを通じてアプリケーション全体の動作に影響を与える可能性があります。SCIMはユーザ・グループ管理の自動化に使用される業界標準プロトコルであり、SaaS/エンタープライズ向けのNode.jsアプリケーションで使用されているケースがあります。

CVSSベクトル

GHSA評価: Critical(数値スコアは非公開)。

項目内容
攻撃経路 (AV)ネットワーク (N)
攻撃複雑度 (AC)低 (L)
必要権限 (PR)不要/低 (N/L) — SCIMエンドポイントへのアクセス権限
ユーザ操作 (UI)不要 (N)
影響範囲 (S)アプリケーション全体

影響を受けるソフトウェア

製品ベンダー影響バージョン
scim-patchthomaspoignant< 0.9.1

修正バージョンと対応方法

修正バージョン: scim-patch 0.9.1

  1. package.json または package-lock.jsonscim-patch のバージョンを確認する
  2. npm install scim-patch@0.9.1 または npm update scim-patch でアップデートする
  3. 依存パッケージ経由での利用がある場合は npm audit で確認する

関連リンク

データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-56326Nuxt URL-handling weaknesses (SSR open redirect等)CVSS 6.5CVE-2026-54352Budibase PWA-zip symlink による任意ファイル読み取りCVSS 9

参考リンク

GHSA:https://github.com/thomaspoignant/scim-patch/security/advisories/GHSA-9m6g-wc8r-q59c
GitHub:https://github.com/thomaspoignant/scim-patch
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。