製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

chimuraiのhttp-proxy-middlewareにおけるCRLF インジェクションの脆弱性

Title	chimuraiのhttp-proxy-middlewareにおけるCRLF インジェクションの脆弱性
Summary	http-proxy-middlewareはNode.jsのhttp-proxyミドルウェアです。バージョン3.0.4から3.0.7および4.1.1まで、fixRequestBody()はボディパーサーによって既に消費されたリクエストボディを再送信するためのライブラリのドキュメント化されたヘルパーです。送信されるContent-Typeがmultipart/form-dataの場合、handlerFormDataBodyData()を使ってボディを再構築しますが、これは各req.bodyのキーと値をCR/LFを無効化せずにマルチパートのワイヤ形式に直接埋め込みます。値（またはキー）内の\r\nは攻撃者に現在のパートを閉じ、新しいフォームパートを完全に注入させることを可能にします。プロキシ自身のボディパーサーは単一の不透明な値を認識したため、ゲートウェイ側でreq.bodyに対して行われるポリシーや検証はアップストリームのバックエンドが最終的に解析するフィールドセットとは異なり、信頼境界を越えたリクエストやパラメータの非同期化が発生します。この脆弱性はバージョン3.0.7および4.1.1で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 22, 2026, midnight
Registration Date	June 26, 2026, 11:54 a.m.
Last Update	June 26, 2026, 11:54 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:N

Affected System

chimurai

http-proxy-middleware 3.0.4 以上 3.0.7 未満

http-proxy-middleware 4.0.0 以上 4.1.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-55603	https://www.cve.org/CVERecord?id=CVE-2026-55603
National Vulnerability Database (NVD)
2	CVE-2026-55603	https://nvd.nist.gov/vuln/detail/CVE-2026-55603

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-93	https://cwe.mitre.org/data/definitions/93.html

ベンダー情報

No	Name	URL
GitHub
1	multipart/form-data field injection via unescaped CRLF in `fixRequestBody` Advisory chimurai/http-proxy-middleware GitHub	https://github.com/chimurai/http-proxy-middleware/security/advisories/GHSA-gcq2-9pq2-cxqm

Change Log

No	Changed Details	Date of change
1	[2026年06月26日] 掲載	June 26, 2026, 11:54 a.m.