IPAセキュリティセンターとJPCERT/CC、「Electron」におけるNodeモジュール読み込みに関する脆弱性を発表

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は、「Electron」におけるNodeモジュール読み込みに関する問題を、JVN（Japan Vulnerability Notes）で発表した。 Electronは、Web技術でクロスプラットフォームのデスクトップアプリケーションを開発するためのフレームワーク。エディタの「Atom」や「Visual Studio Code」などのアプリケーションで利用されている。 このElectronには、Nodeモジュール読み込みのパスを適切に制限していない問題が存在し、原因は、require関数の処理を行う際、モジュールが存在するディレクトリの親ディレクトリをすべて検索パスに加えてしまうことにある。攻撃者によって、これらの検索パスに細工されたNodeモジュールを置か

[kazu_levis501]

[JPCERT/CC][Electron][Nodeモジュール読み込み][ぜい弱性]

[atotto]

アップデート＿φ(￣ー￣ )