| Title | Inngestにおける複数の脆弱性 |
|---|---|
| Summary | Inngestは、キューイング、リトライ、ステップオーケストレーションを備えたイベント駆動およびスケジュールされたバックグラウンド関数を実行するためのプラットフォームです。バージョン3.22.0から3.53.1にかけて、認証されていないリモート攻撃者がserve() HTTPハンドラーを介してホストプロセスの環境変数を流出させる脆弱性が含まれていました。serve()ハンドラーはGET、POST、PUTメソッドを実装しています。PATCH、OPTIONS、DELETEを使用したリクエストは、診断情報を返す一般的なハンドラーにフォールスルーします。バージョン3.22.0で導入された変更により、この診断応答にprocess.envの内容が含まれるようになり、環境内の秘密情報、APIキー、資格情報が露出しました。serve()エンドポイントがPATCH、OPTIONS、DELETEリクエストで到達可能なアプリケーションは脆弱であり、これはNext.js Pages RouterやExpressのapp.use(...)のようなセットアップで一般的です。GET、POST、PUTのみをエクスポートするNext.js App Routerハンドラーや、connect workerメソッドを使用するアプリケーションには影響がありません。この問題はバージョン3.54.0で修正されています。すぐにアップグレードできない場合の回避策としては、フレームワークまたはリバースプロキシ層でserve()エンドポイントをGET、POST、PUTのみ受け付けるように制限してください。Inngestのserve()エンドポイントは他のHTTPメソッドを必要としません。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 7, 2026, midnight |
| Registration Date | May 15, 2026, 10:54 a.m. |
| Last Update | May 15, 2026, 10:54 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.6 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
| Inngest |
| Inngest 3.22.0 以上 3.54.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月15日] 掲載 |
May 15, 2026, 10:54 a.m. |
| Summary | Inngest is a platform for running event-driven and scheduled background functions with queueing, retries, and step orchestration. Versions 3.22.0 through 3.53.1 contain a vulnerability that allows unauthenticated remote attackers to exfiltrate environment variables from the host process via the serve() HTTP handler. The serve() handler implements GET, POST, and PUT methods. Requests using PATCH, OPTIONS, or DELETE fall through to a generic handler that returns diagnostic information. A change introduced in v3.22.0 caused this diagnostic response to include the contents of process.env, exposing any secrets, API keys, or credentials present in the environment. An application is vulnerable if its serve() endpoint is reachable via PATCH, OPTIONS, or DELETE requests, which is common in setups like Next.js Pages Router or Express's app.use(...). Not affected are Next.js App Router handlers that export only GET, POST, and PUT, and applications using the connect worker method. This issue has been fixed in version 3.54.0. To work around this issue if upgrading is not immediately possible, restrict the serve() endpoint at the framework or reverse-proxy layer to accept only GET, POST, and PUT. The Inngest serve() endpoint does not require any other HTTP methods. |
|---|---|
| Publication Date | May 8, 2026, 6:16 a.m. |
| Registration Date | May 9, 2026, 4:11 a.m. |
| Last Update | May 13, 2026, 11:06 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:inngest:inngest:*:*:*:*:*:node.js:*:* | 3.22.0 | 3.54.0 | |||