| タイトル | Node.js FoundationのundiciにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性 |
|---|---|
| 概要 | 影響: UndiciのHTTP/1.1クライアントには、再利用されたキープアライブソケットにおけるレスポンスキュー汚染の脆弱性があります。攻撃者が制御する上流サーバーは、リクエスト完了後のアイドルソケットに対して望まれないHTTP/1.1レスポンスを注入できます。クライアントがそのソケット上で次のリクエストを送信すると、注入されたレスポンスが新しいリクエストに関連付けられ、レスポンスが誤ったリクエストに届けられる原因となります。これは攻撃者が制御または侵害した上流HTTP/1.1サーバーとキープアライブ接続の再利用が必要です。修正方法: undiciをv6.26.0、v7.28.0、またはv8.5.0にアップグレードしてください。回避策: ClientまたはPoolのkeepAliveTimeoutを0に設定し、キープアライブ接続の再利用を無効にしてください。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月17日0:00 |
| 登録日 | 2026年6月29日11:05 |
| 最終更新日 | 2026年6月29日11:05 |
| CVSS3.0 : 低 | |
| スコア | 3.7 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Node.js Foundation |
| undici 6.27.0 未満 |
| undici 7.0.0 以上 7.28.0 未満 |
| undici 8.0.0 以上 8.5.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:05 |