5.3. 解決した問題

CVE-2023-26159: 1.15.4 より前の follow-redirects パッケージは、入力検証が不適切な場合に脆弱である

1.15.4 より前の follow-redirects パッケージのバージョンは、入力検証が不適切な場合に脆弱です。この脆弱性は、url.parse() 関数による URL の不適切な処理が原因で発生します。新しい URL がエラーを返すと、ホスト名を誤って解釈するように操作される可能性があります。攻撃者はこの弱点を悪用してトラフィックを悪意のあるサイトにリダイレクトするため、情報漏洩、フィッシング攻撃、その他のセキュリティー侵害につながる可能性があります。

CVE-2022-25883: 正規表現サービス拒否 (ReDoS) の脆弱性が、node-semver パッケージで発見された。

7.5.2 より前のバージョンの semver npm パッケージは、正規表現サービス拒否 (ReDoS) に対して脆弱です。この ReDoS 脆弱性は、信頼できないユーザーデータが範囲として提供される場合の new Range 関数に起因します。

CVE-2023-26136: 4.1.3 より前の tough-cookie パッケージはプロトタイプ汚染に対して脆弱である。

4.1.3 より前の tough-cookie パッケージのバージョンは、プロトタイプ汚染に対して脆弱である。この脆弱性は、rejectPublicSuffixes=false モードで CookieJar を使用する場合の Cookie の不適切な処理が原因で発生します。この問題は、オブジェクトの初期化方法に起因して発生します。

CVE-2023-35116: 2.15.2 より前の jackson-databind は、サービス拒否またはその他の不特定の影響に対して脆弱である。

2.15.2 より前のバージョンの jackson-databind ライブラリーは、循環依存関係を使用するオブジェクトを細工したものを使用したサービス拒否 (DoS) 攻撃やその他の不特定の影響に対して脆弱です。