JVNDB-2026-009865 | |
Jon Schlinkertのpicomatchにおける非効率的な正規表現の複雑さに関する脆弱性 | |
| 概要 | |
PicomatchはJavaScriptで書かれたグロブマッチャーです。バージョン4.0.4、3.0.2、2.3.2より前のバージョンには、細工されたextglobパターンを処理する際に正規表現拒否サービス攻撃(ReDoS)の脆弱性があります。特に`+()`や`*()`といったextglobの量指定子を使用し、重複する選択肢や入れ子になったextglobと組み合わせた場合、一部のパターンは正規表現にコンパイルされ、非マッチ入力で壊滅的なバックトラッキングを引き起こす可能性があります。信頼できないユーザーが生成したグロブパターンを`picomatch`に渡してコンパイルやマッチングを行うアプリケーションが影響を受けます。その場合、攻撃者が過剰なCPU消費を引き起こし、Node.jsのイベントループをブロックしてサービス拒否に至らせる可能性があります。開発者が管理する信頼されたグロブパターンのみを使用するアプリケーションでは、この問題がセキュリティ上の大きなリスクになる可能性は低いです。この問題はpicomatchの4.0.4、3.0.2、2.3.2で修正されています。ユーザーはサポート対象のリリースラインに応じてこれらのバージョン以降にアップグレードする必要があります。すぐにアップグレードできない場合は、信頼できないグロブパターンを`picomatch`に渡すことを避けてください。対応策として、信頼できないパターンに対してextglobサポートを`noextglob: true`で無効化すること、ネストしたextglobや`+()`や`*()`などの量指定子を含むパターンを拒否またはサニタイズすること、許可されるパターン構文の厳格なホワイトリストを施行すること、制限された時間とリソースの中で隔離されたワーカーや別プロセスでマッチングを実行すること、グロブパターンを受け入れるエンドポイントでアプリケーションレベルのリクエスト制限や入力検証を適用することなどがあります。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
| |
| 影響を受けるシステム | |
|
| |
Jon Schlinkert | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/03/26 |
| 登録日 | 2026/04/03 |
| 最終更新日 | 2026/04/03 |
