製品・ソフトウェアに関する情報

JVN脆弱性詳細

AdonisJSのAdonisJS Core等の複数製品におけるオープンリダイレクトの脆弱性

Title	AdonisJSのAdonisJS Core等の複数製品におけるオープンリダイレクトの脆弱性
Summary	AdonisJS HTTP Serverは、AdonisJSフレームワークでHTTPリクエストを処理するためのパッケージです。@adonisjs/http-serverの7.8.1未満のバージョンおよび8.0.0-next.0から8.1.3までのバージョン、さらに@adonisjs/coreの7.4.0未満のバージョンにおいて、response.redirect().back()メソッドは受信したHTTPリクエストのRefererヘッダーを読み取り、そのホストの検証なしにそのURLへリダイレクトを行います。攻撃者がRefererヘッダーを操作可能な場合、アプリケーションはユーザーを悪意のある外部サイトへリダイレクトさせることができます。これは、response.redirect().back()またはresponse.redirect('back')を使用しているすべてのAdonisJSアプリケーションに影響します。この問題は、@adonisjs/http-serverの7.8.1および8.2.0、@adonisjs/coreの7.4.0のバージョンで修正されています。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 16, 2026, midnight
Registration Date	April 28, 2026, 10:11 a.m.
Last Update	April 28, 2026, 10:11 a.m.

CVSS3.0 : 警告
Score	6.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

AdonisJS

@adonisjs/http-server 7.8.1 未満

@adonisjs/http-server 8.0.0 より大きい 8.1.3 まで

AdonisJS Core 7.3.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40255	https://www.cve.org/CVERecord?id=CVE-2026-40255
National Vulnerability Database (NVD)
2	CVE-2026-40255	https://nvd.nist.gov/vuln/detail/CVE-2026-40255

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-601	https://cwe.mitre.org/data/definitions/601.html

ベンダー情報

No	Name	URL
GitHub
1	URL Redirection to Untrusted Site ('Open Redirect') in @adonisjs/http-server Advisory adonisjs/http-server GitHub	https://github.com/adonisjs/http-server/security/advisories/GHSA-6qvv-pj99-48qm

その他

No	Name	URL
関連文書
1	feat: add isValidRedirectUrl helper, ctx on Redirect, and helper tests adonisjs/http-server@2008fb6 GitHub	https://github.com/adonisjs/http-server/commit/2008fb6cf4f6f1c0ca5797d57def4d93e1c3de08
2	Release Add isValidRedirectUrl helper to be re-used by other packages adonisjs/http-server GitHub	https://github.com/adonisjs/http-server/releases/tag/v8.2.0
3	Release Security fix: open redirect in response.redirect().back() adonisjs/http-server GitHub	https://github.com/adonisjs/http-server/releases/tag/v7.8.1

Change Log

No	Changed Details	Date of change
1	[2026年04月28日] 掲載	April 28, 2026, 10:11 a.m.

NVD Vulnerability Information

CVE-2026-40255

Summary	AdonisJS HTTP Server is a package for handling HTTP requests in the AdonisJS framework. In @adonisjs/http-server versions prior to 7.8.1 and 8.0.0-next.0 through 8.1.3, and @adonisjs/core versions prior to 7.4.0, the response.redirect().back() method reads the Referer header from the incoming HTTP request and redirects to that URL without validating the host.An attacker who can influence the Referer header can cause the application to redirect users to a malicious external site. This affects all AdonisJS applications that use response.redirect().back() or response.redirect('back'). This issue has been fixed in versions 7.8.1 and 8.2.0 and 7.4.0 of @adonisjs/core.
Publication Date	April 17, 2026, 8:16 a.m.
Registration Date	April 18, 2026, 4:10 a.m.
Last Update	April 18, 2026, 12:38 a.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/adonisjs/http-server/commit/2008fb6cf4f6f1c0ca5797d57def4d93e1c3de08	security-advisories@github.com
2	https://github.com/adonisjs/http-server/releases/tag/v7.8.1	security-advisories@github.com
3	https://github.com/adonisjs/http-server/releases/tag/v8.2.0	security-advisories@github.com
4	https://github.com/adonisjs/http-server/security/advisories/GHSA-6qvv-pj99-48qm	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-601	オープンリダイレクト	https://cwe.mitre.org/data/definitions/601.html