JVNDB-2025-023948

 validator projectのvalidatorにおける複数の脆弱性

バージョン13.15.22未満のvalidatorパッケージには、isLength()関数における特殊要素の不完全なフィルタリングの脆弱性があります。この関数では、Unicodeバリエーションセレクタ（\uFE0F、\uFE0E）がシーケンス内に存在する場合を考慮していないため、文字列の長さを正確に計算できません。その結果、isLengthを入力検証に使用しているアプリケーションは、意図したよりも著しく長い文字列を受け入れてしまい、データベースでのデータ切り捨てが発生したり、他のシステムコンポーネントでバッファオーバーフローやサービス拒否（DoS）につながったりする可能性があります。

validator project

• validator 13.15.22 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Gist : JS validator isLength bug  GitHub

synk

• Synk Vulnerability Database : Incomplete Filtering of One or More Instances of Special Elements in validator | CVE-2025-12758 | Snyk

1. エンコーディングエラー(CWE-172) [その他]
2. 特殊要素の1つ以上のインスタンスに対する不完全なフィルタリング(CWE-792) [その他]

1. CVE-2025-12758

1. National Vulnerability Database (NVD) : CVE-2025-12758
2. 関連文書 : fix(isLength): correctly handle Unicode variation selectors by koral--  Pull Request #2616  validatorjs/validator.js  GitHub

• [2026年01月06日]
    掲載