JVNDB-2025-024809

esm-devのesm.shにおける複数の脆弱性

esm.shはモダンなWeb開発向けのノービルドコンテンツ配信ネットワーク（CDN）です。バージョン136以前のesm.shのCDNサービスには、CSSをJavaScriptモジュールに変換する機能にテンプレートリテラルインジェクションの脆弱性（CWE-94）が存在します。?moduleクエリパラメータ付きでCSSファイルがリクエストされると、esm.shはCSSの内容を適切にサニタイズせずにテンプレートリテラル内に直接埋め込む形でJavaScriptモジュールに変換します。攻撃者はCSSファイル内の${...}式を使用して悪意のあるJavaScriptコードを注入でき、被害者のアプリケーションが当該モジュールをインポートした際にコードが実行されます。これにより、ブラウザ上でクロスサイトスクリプティング（XSS）が発生し、Electronアプリケーションにおいてはリモートコード実行（RCE）が可能となります。この問題はバージョン136で修正されました。

esm-dev

• esm.sh 136 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : JS Template Literal Injection in CSS-to-JavaScript  Advisory  esm-dev/esm.sh  GitHub

1. クロスサイトスクリプティング(CWE-79) [NVD評価]
2. コード・インジェクション(CWE-94) [その他]

1. CVE-2025-65026

1. National Vulnerability Database (NVD) : CVE-2025-65026
2. 関連文書 : Fix `*.css?module` XSS (#1237)  esm-dev/esm.sh@87d2f64  GitHub

• [2026年01月19日]
    掲載