製品・ソフトウェアに関する情報

JVN脆弱性詳細

Patrick Juchli (patrickjuchli)のBasic FTPにおける複数の脆弱性

Title	Patrick Juchli (patrickjuchli)のBasic FTPにおける複数の脆弱性
Summary	basic-ftpはNode.js用のFTPクライアントです。バージョン5.3.0より前のバージョンには、リモートFTPサーバーからのディレクトリリスト処理中にメモリが無制限に増加し、サービス拒否を引き起こす脆弱性がありました。悪意のある、または侵害されたサーバーは`Client.list()`に非常に大きいか終わりのないリスト応答を送信でき、そのためクライアントのプロセスはメモリを消費し続けて不安定になったりクラッシュしたりする可能性があります。この問題はバージョン5.3.0で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 24, 2026, midnight
Registration Date	April 30, 2026, 12:26 p.m.
Last Update	April 30, 2026, 12:26 p.m.

Affected System

Patrick Juchli (patrickjuchli)

Basic FTP 5.3.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41324	https://www.cve.org/CVERecord?id=CVE-2026-41324
National Vulnerability Database (NVD)
2	CVE-2026-41324	https://nvd.nist.gov/vuln/detail/CVE-2026-41324

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html
2	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	Name	URL
GitHub
1	basic-ftp@5.2.2 vulnerable to denial of service via unbounded memory consumption in Client.list() Advisory patrickjuchli/basic-ftp GitHub	https://github.com/patrickjuchli/basic-ftp/security/advisories/GHSA-rp42-5vxx-qpwr

Change Log

No	Changed Details	Date of change
1	[2026年04月30日] 掲載	April 30, 2026, 12:26 p.m.

NVD Vulnerability Information

CVE-2026-41324

Summary	basic-ftp is an FTP client for Node.js. Versions prior to 5.3.0 are vulnerable to denial of service through unbounded memory growth while processing directory listings from a remote FTP server. A malicious or compromised server can send an extremely large or never-ending listing response to `Client.list()`, causing the client process to consume memory until it becomes unstable or crashes. Version 5.3.0 fixes the issue.
Publication Date	April 24, 2026, 1:16 p.m.
Registration Date	April 25, 2026, 4:07 a.m.
Last Update	April 28, 2026, 2:48 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:patrickjuchli:basic-ftp::::::node.js::*					5.3.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/patrickjuchli/basic-ftp/security/advisories/GHSA-rp42-5vxx-qpwr	security-advisories@github.com
2	https://github.com/patrickjuchli/basic-ftp/security/advisories/GHSA-rp42-5vxx-qpwr	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html
2	CWE-770	制限またはスロットリング無しのリソースの割り当て	https://cwe.mitre.org/data/definitions/770.html