つみかさね

CVE-2026-48779

High(7.5)

wsのWebSocketメモリ枯渇DoS CVE-2026-48779:影響範囲と対応方法

公開日: 2026-07-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
wswebsockets< 5.2.5 / < 6.2.4 / < 7.5.11 / < 8.21.0

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1npm list ws でバージョンを確認する
  2. 2直接依存・間接依存を含めて影響範囲を把握する
  3. 3使用している系に対応する修正バージョンにアップデートする
  4. 4WebSocketエンドポイントの動作確認を実施する

影響対象

wsパッケージを使用し、WebSocketを外部公開しているNode.jsサービス

補足

  • -Socket.IO等のライブラリがwsを間接依存している場合があります。npm list ws --all で確認してください
  • -外部に公開していないWebSocketは緊急度が低いですが、将来の公開に備えてアップデートを推奨します
CVEnpmWebSocketwsNode.jsDoSメモリ枯渇

30秒で判断

対応すべき人:

  • Node.js アプリで ws パッケージを使用している
  • WebSocket エンドポイントを外部(インターネット)に公開している

対応不要な人:

  • ws を使用していない(Socket.IO 等も内部的に使用する場合があるため要確認)
  • WebSocket エンドポイントを内部ネットワークのみに制限しており、信頼できるクライアントのみが接続する

確認コマンド:

# インストール済みバージョンの確認
npm list ws

# package-lock.json から再帰的に確認
cat package-lock.json | grep -A2 '"ws"' | head -20

# socket.io経由での間接依存も確認
npm list ws --all 2>/dev/null | head -20

概要

ws は Node.js 向けの WebSocket クライアント・サーバライブラリで、週間ダウンロード数は1億件を超える広く使われたパッケージです。多くの Node.js WebSocket 実装(Socket.IO 等を含む)が内部で利用しています。

CVE-2026-48779 では、攻撃者が細工された非常に小さなフラグメントと大量のデータチャンクを組み合わせて送信することで、サーバ側で大量のメモリが消費され続け、最終的にメモリ枯渇によるサービス停止(DoS)を引き起こせます。特別な認証は不要で、WebSocket ハンドシェイクが成立した後であれば誰でも実行可能です。


CVSSベクトル(推定)

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityNone
IntegrityNone
AvailabilityHigh
推定CVSSスコア7.5 (High)

CVSS数値スコアはNVDによる正式評価待ち(GHSAではHIGHと分類)


影響を受けるソフトウェア

製品影響バージョン修正バージョン
ws5.x(5.2.5 未満)5.2.5
ws6.x(6.2.4 未満)6.2.4
ws7.x(7.5.11 未満)7.5.11
ws8.x(8.21.0 未満)8.21.0

修正バージョンと対応手順

修正版: 使用している系のバージョンにアップデートしてください。

# ws 8.x 系を使用している場合
npm install ws@8.21.0

# ws 7.x 系を使用している場合
npm install ws@7.5.11

# package.json を更新して npm install
npm install

回避策(アップデートが困難な場合):

  • WebSocket 接続数に上限を設け、単一クライアントからの過剰な接続を制限する
  • リバースプロキシ(nginx 等)でメッセージサイズやレートリミットを設定する
  • WebSocket エンドポイントへのアクセスを認証済みユーザのみに制限する

関連リンク


データソース: GitHub Advisory Database (GHSA)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。