CVE-2023-45133
概要

Babel is a compiler for writingJavaScript. In `@babel/traverse` prior to versions 7.23.2 and 8.0.0-alpha.4 and all versions of `babel-traverse`, using Babel to compile code that was specifically crafted by an attacker can lead to arbitrary code execution during compilation, when using plugins that rely on the `path.evaluate()`or `path.evaluateTruthy()` internal Babel methods. Known affected plugins are `@babel/plugin-transform-runtime`; `@babel/preset-env` when using its `useBuiltIns` option; and any "polyfill provider" plugin that depends on `@babel/helper-define-polyfill-provider`, such as `babel-plugin-polyfill-corejs3`, `babel-plugin-polyfill-corejs2`, `babel-plugin-polyfill-es-shims`, `babel-plugin-polyfill-regenerator`. No other plugins under the `@babel/` namespace are impacted, but third-party plugins might be. Users that only compile trusted code are not impacted. The vulnerability has been fixed in `@babel/traverse@7.23.2` and `@babel/traverse@8.0.0-alpha.4`. Those who cannot upgrade `@babel/traverse` and are using one of the affected packages mentioned above should upgrade them to their latest version to avoid triggering the vulnerable code path in affected `@babel/traverse` versions: `@babel/plugin-transform-runtime` v7.23.2, `@babel/preset-env` v7.23.2, `@babel/helper-define-polyfill-provider` v0.4.3, `babel-plugin-polyfill-corejs2` v0.4.6, `babel-plugin-polyfill-corejs3` v0.8.5, `babel-plugin-polyfill-es-shims` v0.10.0, `babel-plugin-polyfill-regenerator` v0.5.3.

公表日 2023年10月13日2:15
登録日 2023年10月13日10:00
最終更新日 2024年11月21日17:26
CVSS3.1 : HIGH
スコア 8.8
ベクター CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR)
利用者の関与(UI) 不要
影響の想定範囲(S) 変更あり
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:a:babeljs:babel:8.0.0:alpha.1:*:*:*:nodejs:*:*
cpe:2.3:a:babeljs:babel:8.0.0:alpha.2:*:*:*:nodejs:*:*
cpe:2.3:a:babeljs:babel:8.0.0:alpha.3:*:*:*:nodejs:*:*
cpe:2.3:a:babeljs:babel:8.0.0:alpha.0:*:*:*:nodejs:*:*
cpe:2.3:a:babeljs:babel:*:*:*:*:*:nodejs:*:* 7.23.2
構成3 以上 以下 より上 未満
cpe:2.3:a:babeljs:babel-plugin-polyfill-regenerator:*:*:*:*:*:nodejs:*:* 0.5.3
cpe:2.3:a:babeljs:babel-plugin-polyfill-es-shims:*:*:*:*:*:nodejs:*:* 0.10.0
cpe:2.3:a:babeljs:babel-plugin-polyfill-corejs3:*:*:*:*:*:nodejs:*:* 0.8.5
cpe:2.3:a:babeljs:babel-plugin-polyfill-corejs2:*:*:*:*:*:nodejs:*:* 0.4.6
cpe:2.3:a:babeljs:babel-helper-define-polyfill-provider:*:*:*:*:*:nodejs:*:* 0.4.3
cpe:2.3:a:babeljs:babel-preset-env:*:*:*:*:*:nodejs:*:* 7.23.2
cpe:2.3:a:babeljs:babel-plugin-transform-runtime:*:*:*:*:*:nodejs:*:* 7.23.2
関連情報、対策とツール
共通脆弱性一覧

JVN脆弱性情報
Debian の Debian GNU/Linux 等複数ベンダの製品における不適切な比較に関する脆弱性
タイトル Debian の Debian GNU/Linux 等複数ベンダの製品における不適切な比較に関する脆弱性
概要

Debian の Debian GNU/Linux 等複数ベンダの製品には、不適切な比較に関する脆弱性が存在します。

想定される影響 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策

ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

公表日 2023年10月12日0:00
登録日 2023年12月27日14:23
最終更新日 2025年11月17日14:08
影響を受けるシステム
babeljs
babel 7.23.2 未満
babel 8.0.0
babel-helper-define-polyfill-provider 0.4.3 未満
babel-plugin-polyfill-corejs2 0.4.6 未満
babel-plugin-polyfill-corejs3 0.8.5 未満
babel-plugin-polyfill-es-shims 0.10.0 未満
babel-plugin-polyfill-regenerator 0.5.3 未満
babel-plugin-transform-runtime 7.23.2 未満
babel-preset-env 7.23.2 未満
Debian
Debian GNU/Linux 10.0
Debian GNU/Linux 11.0
Debian GNU/Linux 12.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
変更履歴
No 変更内容 変更日
1 [2023年12月27日]
  掲載
2023年12月27日14:23
2 [2025年11月17日]
  参考情報:JVN (JVNVU#97698216) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-25-317-15) を追加
2025年11月17日13:45