概要
| 脆弱性名(Ja) | Lodash < 4.17.21 の複数の脆弱性 |
| 脆弱性名(En) | Lodash < 4.17.21 Multiple Vulnerabilities |
| ID | 113006 |
| 危険度 | High |
| ファミリー | Component Vulnerability |
説明
Lodashは、JavaScriptでデータ操作や関数操作を簡素化するためのユーティリティライブラリです。
特に、配列、オブジェクト、文字列操作などを効率化し、複雑な操作をシンプルな関数呼び出しで実現できるため、多くの開発者に愛用されています。
バージョン4.17.21より前のLodashには、以下の脆弱性が存在します。
・CVE-2020-28500
toNumber、trim、trimEnd関数が正規表現を扱う際にサービス拒否(DoS)攻撃を受ける可能性がある問題です。
・CVE-2021-23337
テンプレート機能を悪用してコマンドインジェクションが発生する恐れがあります。
リスク
サービス拒否(CVE-2020-28500)は、正規表現の悪用によりサーバーリソースが枯渇し、サービスが一時的に利用不能になるリスクがあります。
コマンドインジェクションの脆弱性(CVE-2021-23337)は、攻撃者がテンプレートに不正な入力を送り、サーバーで任意のコマンドを実行させる可能性があります。
これにより、システム乗っ取りやデータ流出のリスクが生じます。
検出トリガー
- Lodashのバージョンが4.17.21より古い場合
- 「検出されたテクノロジー」にて、Lodash(v <4.17.21)が検出している。
- 該当ページは分かるが、どの部分で使われているか分からない場合、
tenable解説「検出されたテクノロジー」で検出された箇所を特定する
をご参照ください。
- 該当ページは分かるが、どの部分で使われているか分からない場合、
対策
Lodashのアップグレード
Lodashを最新の4.17.21以降のバージョンにアップグレードすることで、プロトタイプ汚染の脆弱性を修正します。パッケージマネージャーを利用して以下のコマンドでアップグレードできます。
npm install lodash@4.17.21
# 最新バージョンの利用の場合:
npm install lodash@latest(その他) テンプレートや正規表現の検証強化
ユーザーからの入力データに対するサニタイズと検証を強化し、信頼性の低いデータを処理しないようにします。
関連リンク
危険度が脆弱性ツールによって異なる場合があります。