← 戻る

CVE-2025-63704 critical CVSS 9.8

prototype-pollution の脆弱性 (CVE-2025-63704)

概要

prototype-pollution に脆弱性 (CVE-2025-63704) が存在。悪用されるとシステム全体を乗っ取られる可能性があります。

AI要約 openai / gpt-4o

NPMパッケージquery-parser-stringのバージョン1.0.0には、Prototype Pollutionという重大な脆弱性があります。これは、ユーザーからのクエリデータを正しく洗浄せず、そのデータをオブジェクトに悪意を持って組み込むことができる問題です。似たような問題には、過去の事件としてCVE-2019-10744がありました。あなたの会社では、可能な限り早くこのバージョンの使用を停止し、セキュリティ対策を講じるべきです。

NPMパッケージquery-parser-string 1.0.0には、Prototype Pollutionの脆弱性があります。この脆弱性は、_fillValue関数がfromQueryを用いてクエリパラメータを解析する際に発生します。影響バージョンは1.0.0で、まだ修正バージョンは提供されていません。攻撃者が以下のようなクエリを使用して、プロトタイプのpollutedプロパティを設定できます。 ```javascript const { fromQuery } = require('query-string-parser'); const queryString = fromQuery("a=1&b=2&__proto__[polluted]=polluted"); ``` 暫定的な回避策は提供されていませんが、このパッケージの利用を控えるべきです。

❓ 何が問題か

CVE-2025-63704 に **脆弱性** (CWE-1321) があります。

📍 影響範囲

CVE-2025-63704 のうち。

🔥 重要度

重要度: 最重要 (CVSS 9.8/10)。悪用されるとシステム全体を乗っ取られる可能性があります

🔧 修正方法

ベンダー公式アドバイザリの修正版に更新してください。

🛡️ 暫定回避

修正版が未提供時は、影響機能の無効化・WAFルール・ネットワークACLでの遮断を検討。

🔍 検知方法

Webサーバ・プロキシ・WAFログで該当CVEのIOCに合致する不審リクエストを検索。SBOM/依存ファイルで影響バージョンを横断確認。

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

CVE-2019-10744

Similar Prototype Pollution vulnerability in lodash package that allowed property injection.

もし自社で起きたら業務シナリオごとの想定影響

📌 Web applications using query-string-parser.

Could allow attackers to manipulate application behavior or access unauthorized data through object pollution.

📌 API services relying on query parsing.

Compromise of API services integrity and confidentiality by injecting unauthorized properties.

📌 Third-party tools or libraries depending on this package.

Risk of widespread vulnerability exploitation due to indirect dependencies.

推奨アクション

Discontinue using the vulnerable package version immediately and conduct a full review of dependency usage for security risks.

対応アクション (7段階)

SOC/SREチームが順番に実行すべき具体的なステップとコマンド例

1
影響範囲の特定 identify
```
Audit SBOM/dependencies for affected components.
```
依存マニフェストで影響コンポーネントを特定する。
7
事後検証 verify
```
Confirm patched version is live in production
```
パッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。

参照URL

メタデータ

CVE: CVE-2025-63704
GHSA: GHSA-587p-w43q-4hjx
公開日: 2026-05-07
SecPulse初出: 2日前
初出ソース: NIST National Vulnerability Database

タグ (クリックで解説)

CWE

Cwe 1321

攻撃タイプ

プロトタイプ汚染認証バイパスサプライチェーン攻撃

パッケージ系

npm

言語

JavaScript

すべて

Critical Network No Patch Remote Exploit Open Source Package Security Dependency Vulnerability Query String Js Parser

CWE

CWE-1321

検知ソース

NIST National Vulnerability Database 22時間前
GitHub Security Advisories (Global) 20時間前

概要

AI要約 openai / gpt-4o

類似する過去の事例 過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら 業務シナリオごとの想定影響

対応アクション (7段階)

参照URL

🍪 Cookie について

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら業務シナリオごとの想定影響