つみかさね

CVE-2026-49252

Critical(9.9)

CVE-2026-49252 — deepstream.io Prototype Pollution による特権昇格

公開日: 2026-06-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
deepstream.iodeepstreamIO< 10.0.5

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1deepstream.io のバージョンが 10.0.5 未満であるか確認する
  2. 2deepstream.io 10.0.5 以降へアップデートする
  3. 3アップデートが困難な場合はレコード書き込み権限を持つユーザーを最小化する

影響対象

deepstream.io 利用者deepstream.io をリアルタイム同期基盤として使用するサービス

補足

  • -認証済みユーザーが悪用できるため、内部ユーザーも含めた権限管理の見直しを推奨します
CVEdeepstream.ioPrototype PollutionNode.jsリアルタイム

概要

リアルタイムデータ同期サーバー deepstream.io のバージョン 10.0.5 未満に、Prototype Pollution 脆弱性(CVE-2026-49252)が存在します。CVSSスコアは 9.9(Critical)です。

deepstream.io は、クライアントおよびバックエンドサービス間でのデータ同期、メッセージング、RPC を大規模に提供するリアルタイムサーバーです。認証済みユーザーがレコードへの書き込み権限を持つ場合、Prototype Pollution を通じて任意のユーザーから特権昇格が可能になります。

CVSSベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow(認証済み + レコード書き込み権限)
User InteractionNone
CWECWE-1321(Improperly Controlled Modification of Object Prototype Attributes)

影響を受けるソフトウェア

製品影響バージョン修正バージョン
deepstream.io10.0.5 未満10.0.5

修正バージョンと回避策

推奨対応: deepstream.io 10.0.5 へのアップデートを推奨します。

  • GitHub Commit
  • deepstream.io を npm でインストールしている場合は npm update deepstream.io で更新できます

暫定対策: レコードへの書き込み権限を最小権限原則に基づき厳格に管理することで、攻撃可能なユーザーを制限できます。

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-49252
GitHub Advisory:https://github.com/deepstreamIO/deepstream.io/security/advisories/GHSA-9v98-6g37-x9g6
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。