← 戻る

CVE-2025-63706 critical CVSS 9.8

npm にコードインジェクション (CVE-2025-63706)

概要

npm にコードインジェクション (CVE-2025-63706) が存在。悪用されるとシステム全体を乗っ取られる可能性があります。

AI要約 openai / gpt-4o

この脆弱性は、npmパッケージ「next-npm-version」バージョン1.0.1で検出されました。このパッケージは特定の入力を適切に検証せずに命令を実行するため、攻撃者が不正にコードを実行できてしまう問題があります。過去には、同様の脆弱性により、企業の内部サーバーが乗っ取られる事例もありました。影響を受けるバージョンを使用している場合は、直ちにパッチを適用し、システム全体のセキュリティを強化してください。

npmパッケージ"next-npm-version"のバージョン1.0.1に重大なコマンドインジェクションの脆弱性があります。特に"nx.npmVersion"関数が、"inName"パラメータを適切にサニタイズしないまま"execSync"に渡すため、悪意のあるコードを実行される可能性があります。例えば、`nx.npmVersion('malicious && command #')`のような入力が攻撃で利用されます。影響範囲はバージョン1.0.1までで、修正バージョンは未提供です。検知は、全ての"npmVersion"関数呼び出しで不審な文字列をログで監視することで可能です。

❓ 何が問題か

CVE-2025-63706 に **任意コード実行** (CWE-94) があります。

📍 影響範囲

CVE-2025-63706 のうち。

🔥 重要度

重要度: 最重要 (CVSS 9.8/10)。悪用されるとシステム全体を乗っ取られる可能性があります

🔧 修正方法

ベンダー公式アドバイザリの修正版に更新してください。

🛡️ 暫定回避

修正版が未提供時は、影響機能の無効化・WAFルール・ネットワークACLでの遮断を検討。

🔍 検知方法

Webサーバ・プロキシ・WAFログで該当CVEのIOCに合致する不審リクエストを検索。SBOM/依存ファイルで影響バージョンを横断確認。

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

CVE-2021-44228

The Log4Shell vulnerability allowing remote code execution due to improper input handling.

Heartbleed

Critical bug in OpenSSL allowing memory contents to be read due to a missing bounds check.

もし自社で起きたら業務シナリオごとの想定影響

📌 e-commerce sites using this package for handling updates.

Could result in unauthorized access to user data and potential theft of sensitive information.

📌 Internal systems using this package for automation tasks.

System compromise leading to operational disruptions and data loss.

📌 DevOps pipelines incorporating this package for version management.

Proliferation of malicious commands through continuous deployment environments.

推奨アクション

Companies should apply updates when available, implement input validation on commands, and review system logs for abnormal activities.

対応アクション (7段階)

SOC/SREチームが順番に実行すべき具体的なステップとコマンド例

1
影響範囲の特定 identify
```
Audit SBOM/dependencies for affected components.
```
依存マニフェストで影響コンポーネントを特定する。
7
事後検証 verify
```
Confirm patched version is live in production
```
パッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。

参照URL

メタデータ

CVE: CVE-2025-63706
GHSA: GHSA-2xx6-qf7x-grqh
公開日: 2026-05-07
SecPulse初出: 2日前
初出ソース: NIST National Vulnerability Database

タグ (クリックで解説)

CWE

CWE-94: コードインジェクション

パッケージ系

npm

すべて

Nodejs Devops Package Security Github Advisory External Input Security Cvss9 8 Network No Auth No Ui High Confidence High Impact

攻撃タイプ

コマンドインジェクション権限昇格リモートコード実行 (RCE) サプライチェーン攻撃

CWE

CWE-94

検知ソース

NIST National Vulnerability Database 19時間前
GitHub Security Advisories (Global) 18時間前

概要

AI要約 openai / gpt-4o

類似する過去の事例 過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら 業務シナリオごとの想定影響

対応アクション (7段階)

参照URL

🍪 Cookie について

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら業務シナリオごとの想定影響