| Title | Node.js FoundationのNode.jsにおけるアクセス制御に関する脆弱性 |
|---|---|
| Summary | Node.jsの権限モデルに欠陥があり、`--permission`が有効な場合にUnixドメインソケット(UDS)接続がネットワーク制限を回避できます。`--allow-net`がなくても、攻撃者は制御下にある入力(URLやsocketPathオプションなど)を通じてnet、tls、またはundici/fetch経由で任意のローカルソケットに接続可能です。これにより権限モデルで想定されているセキュリティ境界が破られ、特権的なローカルサービスへのアクセスが可能となり、権限昇格、データ漏洩、ローカルコード実行などのリスクを引き起こします。この問題はバージョンv25のNode.js権限モデルのユーザーに影響し、この脆弱性発生時点ではネットワーク権限(`--allow-net`)がまだ実験的段階にあるため注意が必要です。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Jan. 20, 2026, midnight |
| Registration Date | Feb. 2, 2026, 7:21 p.m. |
| Last Update | Feb. 2, 2026, 7:21 p.m. |
| CVSS3.0 : 緊急 | |
| Score | 10 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Node.js Foundation |
| Node.js 25.0.0 以上 25.3.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年02月02日] 掲載 |
Feb. 2, 2026, 7:21 p.m. |