製品・ソフトウェアに関する情報

JVN脆弱性詳細

RedwoodSDKにおけるクロスサイトリクエストフォージェリの脆弱性

Title	RedwoodSDKにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	RedwoodSDKはサーバーファーストのReactフレームワークです。バージョン1.0.0-beta.50から1.0.5までの間、"use server"ファイルからエクスポートされたサーバー関数は、本来のHTTPメソッドを無視してGETリクエスト経由で呼び出される可能性がありました。クッキー認証されたアプリケーションでは、SameSite=LaxクッキーがトップレベルのGETリクエストで送信されるため、クロスサイトのGETナビゲーションにより状態を変更する関数が実行される可能性がありました。これはすべてのサーバー関数、つまりserverAction()ハンドラおよび"use server"ファイル内の裸のエクスポート関数に影響を及ぼしました。この脆弱性はバージョン1.0.6で修正されています。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 7, 2026, midnight
Registration Date	April 27, 2026, 11:17 a.m.
Last Update	April 27, 2026, 11:17 a.m.

CVSS3.0 : 重要
Score	8.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

Affected System

RedwoodSDK

RedwoodSDK 1.0.0

RedwoodSDK 1.0.1 以上 1.0.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39371	https://www.cve.org/CVERecord?id=CVE-2026-39371
National Vulnerability Database (NVD)
2	CVE-2026-39371	https://nvd.nist.gov/vuln/detail/CVE-2026-39371

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
GitHub
1	CSRF vulnerability in server function dispatch via GET requests Advisory redwoodjs/sdk GitHub	https://github.com/redwoodjs/sdk/security/advisories/GHSA-x8rx-789c-2pxq

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 11:17 a.m.

NVD Vulnerability Information

CVE-2026-39371

Summary	RedwoodSDK is a server-first React framework. From 1.0.0-beta.50 to 1.0.5, erver functions exported from "use server" files could be invoked via GET requests, bypassing their intended HTTP method. In cookie-authenticated applications, this allowed cross-site GET navigations to trigger state-changing functions, because browsers send SameSite=Lax cookies on top-level GET requests. This affected all server functions -- both serverAction() handlers and bare exported functions in "use server" files. This vulnerability is fixed in 1.0.6.
Publication Date	April 8, 2026, 5:16 a.m.
Registration Date	April 15, 2026, 11:29 a.m.
Last Update	April 25, 2026, 3:14 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:rwsdk:redwoodsdk::::::node.js::*	1.0.1			1.0.6
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta50::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta51::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta52::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta53::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta53_test20260205213024::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta54::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta55::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta56::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta57::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta58::::node.js::*

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/redwoodjs/sdk/security/advisories/GHSA-x8rx-789c-2pxq	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:rwsdk:redwoodsdk::::::node.js::*	1.0.1			1.0.6
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta50::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta51::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta52::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta53::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta53_test20260205213024::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta54::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta55::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta56::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta57::::node.js::*
cpe:2.3:a:rwsdk:redwoodsdk:1.0.0:beta58::::node.js::*