30秒で判断
対応すべき人:
i18next-fs-backendパッケージのv2.6.5以前を使用しているNode.jsアプリケーション開発者・運用者- i18nextの多言語化(i18n)機能をNode.jsサーバーサイドで利用しているプロジェクト
対応不要な人:
- i18next-fs-backendを使用していない
- v2.6.6以降を使用している(修正済み)
- ブラウザのみで動作するクライアントサイドアプリケーション(このパッケージはNode.js向け)
確認コマンド:
# バージョン確認
npm list i18next-fs-backend
# または
cat package.json | grep i18next-fs-backend
cat package-lock.json | grep -A2 '"i18next-fs-backend"'
概要
Node.jsでのi18next用ファイルシステムバックエンドパッケージi18next-fs-backendのv2.6.5以前に、prototype pollution(プロトタイプ汚染)脆弱性が存在します。
細工されたmissing-key文字列を通じてJavaScriptオブジェクトのプロトタイプを汚染でき、アプリケーションのロジック改ざん、セキュリティチェックのバイパス、またはサービス拒否(DoS)が発生する可能性があります。
prototype pollutionはNode.jsアプリケーションにおいて深刻な影響をもたらすことがあり、サーバーサイドでの任意コード実行につながるケースも報告されています。
CVSSベクトル(推定)
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector (AV) | Network | ネットワーク経由 |
| Attack Complexity (AC) | Low | 攻撃の複雑さは低い |
| Privileges Required (PR) | None | 認証不要 |
| User Interaction (UI) | None | ユーザー操作不要 |
※ GHSA Criticalとして公開。
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| i18next-fs-backend | npm | 2.6.5以前 |
修正バージョンと回避策
推奨対応: i18next-fs-backend v2.6.6へのアップデート。
npm update i18next-fs-backend
# または特定バージョンを指定
npm install i18next-fs-backend@^2.6.6
関連リンク
データソース: GitHub Advisory Database, NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。