JVNDB-2025-024104

 Nodemailer等の複数ベンダの製品における例外的な状況に対する不適切なチェックまたは処理に関する脆弱性

Nodemailer に脆弱性が発覚しました。この脆弱性によって、細工されたメールアドレスヘッダーを処理した際にアドレスパーサーが無限再帰に陥り、サービス拒否（DoS）攻撃を受ける可能性があります。

Nodemailer

• Nodemailer 7.0.11 未満

レッドハット

• Developer Hub
• Red Hat Advanced Cluster Management for Kubernetes 2.0
• Red Hat Ceph Storage 8.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : DoS vulnerability caused by recursive calls in Nodemailer’s addressparser  Advisory  nodemailer/nodemailer  GitHub

レッドハット

• Red Hat Bugzilla : 2418133  (CVE-2025-14874, GHSA-rcmh-qjqh-p98v) CVE-2025-14874 nodemailer: Nodemailer: Denial of service via crafted email address header
• Red Hat Customer Portal : CVE-2025-14874 - Red Hat Customer Portal

1. 例外的な状況に対する不適切なチェックまたは処理(CWE-703) [その他]

1. CVE-2025-14874

1. National Vulnerability Database (NVD) : CVE-2025-14874
2. 関連文書 : fix: prevent stack overflow DoS in addressparser with deeply nested g…  nodemailer/nodemailer@b61b9c0  GitHub
3. 関連文書 : GitHub - nodemailer/nodemailer:  Send e-mails with Node.JS  easy as cake!

• [2026年01月08日]
    掲載