製品・ソフトウェアに関する情報

JVN脆弱性詳細

shell-quote projectのshell-quoteにおけるアルゴリズムの複雑さに関する脆弱性

Title	shell-quote projectのshell-quoteにおけるアルゴリズムの複雑さに関する脆弱性
Summary	shell-quote バージョン 1.8.5 より前の parse() 関数では、Array.prototype.concat を reduce の累積変数として使用して解析済みトークンを確定しており、そのため毎回配列全体が再割り当ておよびコピーされてしまいます。その結果、parse() は入力トークン数に対して O(n^2) の時間で動作します。攻撃者は、parse() を呼び出すコードパスに攻撃者制御可能な文字列を渡すことができ（シェルのメタ文字は不要で、単純な空白区切りの単語で十分です）、少量の入力でシングルスレッドの Node.js イベントループを長時間ブロックさせてサービス拒否を引き起こす可能性があります。コードの実行やデータの漏洩は発生せず、影響は可用性に限られます。本問題はバージョン 1.8.5 で修正されました。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 25, 2026, midnight
Registration Date	June 29, 2026, 11:20 a.m.
Last Update	June 29, 2026, 11:20 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

shell-quote project

shell-quote 1.9.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-13311	https://www.cve.org/CVERecord?id=CVE-2026-13311
National Vulnerability Database (NVD)
2	CVE-2026-13311	https://nvd.nist.gov/vuln/detail/CVE-2026-13311

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-407	https://cwe.mitre.org/data/definitions/407.html

ベンダー情報

No	Name	URL
GitHub
1	Quadratic-complexity Denial of Service in `parse()` (CWE-407) Advisory ljharb/shell-quote GitHub	https://github.com/ljharb/shell-quote/security/advisories/GHSA-395f-4hp3-45gv

その他

No	Name	URL
関連文書
1	shell-quote - npm	https://www.npmjs.com/package/shell-quote

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:20 a.m.

NVD Vulnerability Information

CVE-2026-13311

Summary	shell-quote prior to 1.8.5 finalizes parsed tokens in parse() using Array.prototype.concat as a reduce accumulator, which reallocates and copies the entire growing array on every iteration. As a result parse() runs in O(n^2) time relative to the number of input tokens. An attacker who can supply an attacker-controlled string to any code path that calls parse() (no shell metacharacters are required; plain space-separated words suffice) can block the single-threaded Node.js event loop for an extended period with a small input, resulting in a denial of service. There is no code execution or data disclosure; impact is to availability only. Fixed in 1.8.5.
Publication Date	June 25, 2026, 2:16 p.m.
Registration Date	June 27, 2026, 4:25 a.m.
Last Update	June 27, 2026, 4:03 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:shell-quote_project:shell-quote::::::node.js::*					1.9.0

Related information, measures and tools

No	URL	refsource
1	https://github.com/ljharb/shell-quote/security/advisories/GHSA-395f-4hp3-45gv	7ffcee3d-2c14-4c3e-b844-86c6a321a158
2	https://www.npmjs.com/package/shell-quote	7ffcee3d-2c14-4c3e-b844-86c6a321a158
3	https://github.com/ljharb/shell-quote/security/advisories/GHSA-395f-4hp3-45gv	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-407	アルゴリズムの複雑性	https://cwe.mitre.org/data/definitions/407.html