JVNDB-2026-009864 | |
Jon Schlinkertのpicomatchにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性 | |
| 概要 | |
PicomatchはJavaScriptで書かれたグロブマッチャーです。バージョン4.0.4未満、3.0.2未満、および2.3.2未満には、`POSIX_REGEX_SOURCE`オブジェクトに影響を与えるメソッドインジェクションの脆弱性があります。このオブジェクトは`Object.prototype`を継承しているため、特別に細工されたPOSIXブラケット式(例:[[:constructor:]])が継承されたメソッド名を参照できます。これらのメソッドは暗黙的に文字列に変換され、生成された正規表現に注入されます。これにより、パターンが意図しないファイル名にマッチする不正なグロブマッチング動作(整合性への影響)を引き起こします。この問題はリモートコード実行を可能にしませんが、フィルタリング、検証、アクセス制御のためにグロブマッチングに依存するアプリケーションにおいてセキュリティ上の論理エラーを引き起こす可能性があります。影響を受ける`picomatch`のすべてのバージョンを使用し、未検証またはユーザー制御のグロブパターンを処理するユーザーは潜在的に影響を受けます。この問題はpicomatch 4.0.4、3.0.2、および2.3.2で修正されています。ユーザーはサポートされているリリースラインに応じてこれらのバージョン以降にアップグレードする必要があります。すぐにアップグレードができない場合は、未検証のグロブパターンをpicomatchに渡すことを避けてください。考えられる緩和策には、特に[[:...:]]のようなPOSIX文字クラスを含む未検証のグロブパターンをサニタイズまたは拒否すること、ユーザー入力が関与する場合はPOSIXブラケット式の使用を避けること、そして`POSIX_REGEX_SOURCE`をヌルプロトタイプに変更してライブラリを手動でパッチすることが含まれます。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [その他]
| |
| 影響を受けるシステム | |
|
| |
Jon Schlinkert | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/03/26 |
| 登録日 | 2026/04/03 |
| 最終更新日 | 2026/04/03 |
