製品・ソフトウェアに関する情報

JVN脆弱性詳細

chimuraiのhttp-proxy-middlewareにおける複数の脆弱性

Title	chimuraiのhttp-proxy-middlewareにおける複数の脆弱性
Summary	http-proxy-middlewareはNode.jsのhttp-proxyミドルウェアです。バージョン0.16.0から2.0.10、3.0.6、および4.1.0までは、http-proxy-middlewareがrouter proxy-tableのエントリをhost、path、またはhost+pathセレクターとして文書化していましたが、host+pathの実装は攻撃者が制御するリクエストメタデータに対してアンカーのない部分文字列マッチングを使用していました。そのため、設定されたhost+pathキーに対してスーパーセットの一致のみを持つ細工されたHostヘッダーによっても意図しないバックエンドへリクエストがルーティングされる可能性がありました。この脆弱性は2.0.10、3.0.6、および4.1.0で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 22, 2026, midnight
Registration Date	June 29, 2026, 11:11 a.m.
Last Update	June 29, 2026, 11:11 a.m.

Affected System

chimurai

http-proxy-middleware 0.16.0 以上 2.0.10 未満

http-proxy-middleware 3.0.0 以上 3.0.6 未満

http-proxy-middleware 4.0.0 以上 4.1.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-55602	https://www.cve.org/CVERecord?id=CVE-2026-55602
National Vulnerability Database (NVD)
2	CVE-2026-55602	https://nvd.nist.gov/vuln/detail/CVE-2026-55602

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-187	https://cwe.mitre.org/data/definitions/187.html
2	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
GitHub
1	`router` host+path substring matching allows Host-header-driven backend routing bypass Advisory chimurai/http-proxy-middleware GitHub	https://github.com/chimurai/http-proxy-middleware/security/advisories/GHSA-64mm-vxmg-q3vj

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:11 a.m.

NVD Vulnerability Information

CVE-2026-55602

Summary	http-proxy-middleware is node.js http-proxy middleware. From 0.16.0 until 2.0.10, 3.0.6, and 4.1.0, http-proxy-middleware documents router proxy-table entries as host, path, or host+path selectors, but the host+path implementation uses unanchored substring matching on attacker-controlled request metadata. As a result, a crafted Host header that is only a superstring match for a configured host+path key can still route a request to an unintended backend. This vulnerability is fixed in 2.0.10, 3.0.6, and 4.1.0.
Publication Date	June 23, 2026, 3:16 a.m.
Registration Date	June 27, 2026, 4:11 a.m.
Last Update	June 27, 2026, 5:06 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:chimurai:http-proxy-middleware::::::::	0.16.0			2.0.10
cpe:2.3:a:chimurai:http-proxy-middleware::::::::	3.0.0			3.0.6
cpe:2.3:a:chimurai:http-proxy-middleware::::::::	4.0.0			4.1.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/chimurai/http-proxy-middleware/security/advisories/GHSA-64mm-vxmg-q3vj	security-advisories@github.com
2	https://github.com/chimurai/http-proxy-middleware/security/advisories/GHSA-64mm-vxmg-q3vj	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-187	部分的な文字列の比較	https://cwe.mitre.org/data/definitions/187.html