JVNDB-2025-026237

Storybookにおける複数の脆弱性

Storybookは、ユーザーインターフェースコンポーネントやページを独立して構築するためのフロントエンドのワークショップです。バージョン7.0.0以降、かつ7.6.21、8.6.15、9.1.17、10.1.10より前のバージョンに存在する脆弱性は、`.env`ファイルで定義された環境変数の取り扱いに関するものです。特定の状況下で、`storybook build`コマンドによって作成された成果物にこれらの変数が意図せずバンドルされてしまう可能性があります。ビルドされたStorybookをウェブ上に公開すると、そのバンドルのソースが閲覧可能となり、アクセス権を持つすべての人にこれらの変数がさらされるおそれがあります。この問題が潜在的に該当するプロジェクトは、`.env`ファイル（`.env.local`のようなバリエーションを含む）が存在するディレクトリでStorybookを直接または間接的にビルドし（すなわち`storybook build`を実行し）、ビルド済みのStorybookをウェブに公開している必要があります。ビルド時に`.env`ファイルが存在しないStorybookのビルドや、プラットフォームの環境変数を通じてシークレットを提供する一般的なCIベースのビルドは影響を受けません。Storybookのランタイム環境（`storybook dev`）も影響を受けません。また、Storybookとリポジトリを共有する展開済みのアプリケーションも影響を受けません。ユーザーはできるだけ早くローカルマシンとCI環境の両方でStorybookをバージョン7.6.21、8.6.15、9.1.17、または10.1.10にアップグレードするべきです。メンテナはさらに、`.env`ファイルで提供される機密シークレットを監査し、それらのキーをローテーションすることを推奨しています。一部のプロジェクトはこの問題の根底にある未文書の挙動に依存している可能性があり、このアップデート後に環境変数の参照方法を変更する必要があります。必要な環境変数の値が読み取れなくなった場合は、変数に`STORYBOOK_`のプレフィックスを付けるか、Storybookの設定の`env`プロパティを使用して手動で値を指定してください。いずれの場合も、機密シークレットがビルドされたバンドルに含まれてしまうため、機密情報を含めないでください。

Storybook

• Storybook 10.0.0 以上 10.1.10 未満
• Storybook 7.0.0 以上 7.6.21 未満
• Storybook 8.0.0 以上 8.6.15 未満
• Storybook 9.0.0 以上 9.1.17 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Exposure of environment variables from .env in published Storybook  Advisory  storybookjs/storybook  GitHub

Storybook

• Storybook : Security advisory

1. 情報漏えい(CWE-200) [その他]
2. ファイルおよびディレクトリ情報の漏えい(CWE-538) [その他]
3. 重要情報を含むインクルードファイル(CWE-541) [その他]

1. CVE-2025-68429

1. National Vulnerability Database (NVD) : CVE-2025-68429

• [2026年04月13日]
    掲載