Tag: node-ip

node-ip の GitHub リポジトリが凍結された:開発者が指摘する CVE 発行フローの問題点とは?

Dev rejects CVE severity, makes his GitHub repo read-only

2024/06/30 BleepingComputer — 人気のオープンソース・プロジェクト node-ip の GitHub リポジトリが、その開発者の手により、先日にアーカイブ (読み取り専用) 状態になってしまった。その背景にあるのは、今年の始めに node-ip に対する CVE が提出されたことで、開発者である Fedor Indutny に対して、インターネット上のユーザーからの脆弱性の指摘が集中したことである。残念なことに、今回のケースは、彼に限った出来事ではない。このところ、オープンソースの開発者たちの間で急増しているには、自分のプロジェクトに対して提出された、議論の余地のある CVE レポートや、十分な確認もなしに提出された全くのインチキ CVE レポートを受け取るケースである。

Continue reading “node-ip の GitHub リポジトリが凍結された:開発者が指摘する CVE 発行フローの問題点とは?”

Node.js パッケージ node-ip の脆弱性 CVE-2024-29415:SSRF 攻撃が生じる恐れ

CVE-2024-29415: Popular Node.js Package ‘node-ip’ Exposes Millions to Potential SSRF Attacks

2024/06/03 SecurityOnline — 人気の node-ip npm パッケージに、深刻な SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-29415 が発見された。このパッケージは、シンプルなコマンドライン・ツールを介して、コンピュータの IPv4 アドレスを取得するように設計されており、毎週 1,900 万件以上のダウンロードを誇っている。

Continue reading “Node.js パッケージ node-ip の脆弱性 CVE-2024-29415:SSRF 攻撃が生じる恐れ”