Vaadinのバージョン14.2.0から14.14.0、15.0.0から23.6.6、24.0.0から24.9.8、および25.0.0から25.0.2までにおいて、Node.jsのダウンロードおよび解凍時に、特別に細工されたZIPアーカイブが意図された解凍ディレクトリから逸脱する可能性があります。Vaadinのビルドプロセスは、ローカルにNode.jsがインストールされていない場合に自動的にNode.jsをダウンロードおよび解凍します。攻撃者がDNSハイジャック、中間者攻撃（MITM）、ミラーサイトの改ざん、またはサプライチェーン攻撃を介してこのダウンロードを傍受または制御できる場合、パス・トラバーサルのシーケンスを含む悪意のあるアーカイブを提供し、意図された解凍ディレクトリ外にファイルを書き込むことが可能です。影響を受けるバージョンのユーザーは、Vaadinのバージョンに互換性のあるグローバルに事前インストールされたNode.jsバージョンを使用するか、次のようにアップグレードしてください。14.2.0から14.14.0は14.14.1へ、15.0.0から23.6.6は23.6.7へ、24.0.0から24.9.8は24.9.9へ、25.0.0から25.0.2は25.0.3以降のバージョンへアップデートしてください。なお、Vaadinのバージョン10から13および15から22はもはやサポートされていないため、最新の14、23、24、25のいずれかのバージョンに更新することを推奨します。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。