JVNDB-2026-005468

minimatch projectのminimatchにおける非効率的な正規表現の複雑さに関する脆弱性

minimatchは、グロブ表現をJavaScriptのRegExpオブジェクトに変換するための最小限のマッチングユーティリティです。バージョン10.2.3、9.0.7、8.0.6、7.4.8、6.2.2、5.1.8、4.2.5、および3.1.4より前のバージョンでは、ネストされた`*()` extglobがネストされた無制限の量指定子（例：`(?:(?:a|b)*)*`）を含む正規表現を生成し、V8で壊滅的なバックトラッキングを引き起こします。12バイトのパターン`*(*(*(a|b)))`と18バイトの不一致入力を用いると、`minimatch()`は7秒以上停止します。ネストレベルを1つ追加するか、入力文字を数文字増やすと、この停止時間は数分に達します。これは最も深刻な問題であり、特別なオプションなしでデフォルトの`minimatch()` APIでトリガーされ、最小限の有効なパターンはわずか12バイトです。同じ問題は `+()` extglobにも同様に影響します。バージョン10.2.3、9.0.7、8.0.6、7.4.8、6.2.2、5.1.8、4.2.5、および3.1.4でこの問題は修正されています。

minimatch project

• minimatch 3.1.4 未満
• minimatch 10.0.0 以上 10.2.3 未満
• minimatch 4.0.0 以上 4.2.5 未満
• minimatch 5.0.0 以上 5.1.8 未満
• minimatch 6.0.0 以上 6.2.2 未満
• minimatch 7.0.0 以上 7.4.8 未満
• minimatch 8.0.0 以上 8.0.6 未満
• minimatch 9.0.0 以上 9.0.7 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : ReDoS: nested *() extglobs generate catastrophically backtracking regular expressions  Advisory  isaacs/minimatch  GitHub

1. 非効率的な正規表現の複雑さ(CWE-1333) [その他]

1. CVE-2026-27904

1. National Vulnerability Database (NVD) : CVE-2026-27904

• [2026年03月02日]
    掲載