製品・ソフトウェアに関する情報

JVN脆弱性詳細

koajsのKoaにおける非効率的な正規表現の複雑さに関する脆弱性

Title	koajsのKoaにおける非効率的な正規表現の複雑さに関する脆弱性
Summary	KoaはES2017の非同期関数を使用したNode.js向けの表現力豊かなミドルウェアです。バージョン0.21.2、1.7.1、2.15.4、および3.0.0-alpha.3より前のバージョンでは、Koaは`X-Forwarded-Proto`および`X-Forwarded-Host` HTTPヘッダーを解析する際に悪意のある正規表現を使用していました。これにより、サービス拒否（DoS）攻撃が可能となる恐れがありました。この問題はバージョン0.21.2、1.7.1、2.15.4、および3.0.0-alpha.3で修正されています。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 12, 2025, midnight
Registration Date	Jan. 22, 2026, 11:30 a.m.
Last Update	Jan. 22, 2026, 11:30 a.m.

Affected System

koajs

Koa 0.21.2 未満

Koa 1.0.0 以上 1.7.1 未満

Koa 2.0.0 以上 2.15.4 未満

Koa 3.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-25200	https://www.cve.org/CVERecord?id=CVE-2025-25200
National Vulnerability Database (NVD)
2	CVE-2025-25200	https://nvd.nist.gov/vuln/detail/CVE-2025-25200

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1333	https://cwe.mitre.org/data/definitions/1333.html

ベンダー情報

No	Name	URL
GitHub Advisory Database
1	Inefficient Regular Expression Complexity in koa Advisory koajs/koa GitHub	https://github.com/koajs/koa/security/advisories/GHSA-593f-38f6-jp5m

その他

No	Name	URL
関連文書
1	koa/lib/request.js at master koajs/koa GitHub (https://github.com/koajs/koa/blob/master/lib/request.js#L259)	https://github.com/koajs/koa/blob/master/lib/request.js#L259
2	koa/lib/request.js at master koajs/koa GitHub (https://github.com/koajs/koa/blob/master/lib/request.js#L404)	https://github.com/koajs/koa/blob/master/lib/request.js#L404
3	Merge commit from fork koajs/koa@5054af6 GitHub	https://github.com/koajs/koa/commit/5054af6e31ffd451a4151a1fe144cef6e5d0d83c
4	Merge commit from fork koajs/koa@5f294bb GitHub	https://github.com/koajs/koa/commit/5f294bb1c7c8d9c61904378d250439a321bffd32
5	Merge commit from fork koajs/koa@93fe903 GitHub	https://github.com/koajs/koa/commit/93fe903fc966635a991bcf890cfc3427d33a1a08
6	Release 2.15.4 koajs/koa GitHub	https://github.com/koajs/koa/releases/tag/2.15.4

Change Log

No	Changed Details	Date of change
1	[2026年01月22日] 掲載	Jan. 22, 2026, 11:30 a.m.

NVD Vulnerability Information

CVE-2025-25200

Summary	Koa is expressive middleware for Node.js using ES2017 async functions. Prior to versions 0.21.2, 1.7.1, 2.15.4, and 3.0.0-alpha.3, Koa uses an evil regex to parse the `X-Forwarded-Proto` and `X-Forwarded-Host` HTTP headers. This can be exploited to carry out a Denial-of-Service attack. Versions 0.21.2, 1.7.1, 2.15.4, and 3.0.0-alpha.3 fix the issue.
Publication Date	Feb. 13, 2025, 3:15 a.m.
Registration Date	Feb. 14, 2025, 4:02 a.m.
Last Update	Feb. 13, 2025, 3:15 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/koajs/koa/blob/master/lib/request.js#L259
2	https://github.com/koajs/koa/blob/master/lib/request.js#L404
3	https://github.com/koajs/koa/commit/5054af6e31ffd451a4151a1fe144cef6e5d0d83c
4	https://github.com/koajs/koa/commit/5f294bb1c7c8d9c61904378d250439a321bffd32
5	https://github.com/koajs/koa/commit/93fe903fc966635a991bcf890cfc3427d33a1a08
6	https://github.com/koajs/koa/releases/tag/2.15.4
7	https://github.com/koajs/koa/security/advisories/GHSA-593f-38f6-jp5m

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-1333	非効率的な正規表現の複雑さ	https://cwe.mitre.org/data/definitions/1333.html