製品・ソフトウェアに関する情報
脆弱性検索
Alex Gherghisan等の複数ベンダの製品における埋め込まれた悪意のあるコードに関する脆弱性
タイトル Alex Gherghisan等の複数ベンダの製品における埋め込まれた悪意のあるコードに関する脆弱性
概要

eslint-config-prettier のバージョン 8.10.1、9.1.1、10.1.6、および 10.1.7 には、サプライチェーン攻撃のための悪意のあるコードが埋め込まれています。影響を受けるパッケージをインストールすると、install.js ファイルが実行され、Windows 上で node-gyp.dll マルウェアを起動します。

想定される影響 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

公表日 2025年7月19日0:00
登録日 2026年1月26日19:30
最終更新日 2026年1月26日19:30
CVSS3.0 : 重要
スコア 7.5
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:N
影響を受けるシステム
UnTS
@unts/pkgr 0.2.8
napi-postinstall 0.3.1
synckit 0.11.9
Homarr
Homarr 1.29.0 以上 1.30.0 未満
Alex Gherghisan
got-fetch 5.1.1
got-fetch 5.1.2
Prettier
eslint-config-prettier 10.1.6
eslint-config-prettier 10.1.7
eslint-config-prettier 8.10.1
eslint-config-prettier 9.1.1
eslint-plugin-prettier 4.2.2
eslint-plugin-prettier 4.2.3
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年01月26日]
  掲載		 2026年1月26日19:30
NVD脆弱性情報
CVE-2025-54313
概要

eslint-config-prettier 8.10.1, 9.1.1, 10.1.6, and 10.1.7 has embedded malicious code for a supply chain compromise. Installing an affected package executes an install.js file that launches the node-gyp.dll malware on Windows.

公表日 2025年7月20日2:15
登録日 2025年7月20日4:00
最終更新日 2025年7月24日1:15
関連情報、対策とツール
共通脆弱性一覧