注目github_advisory2分
esbuild Deno モジュールに完全性検証欠如、NPM_CONFIG_REGISTRY 経由でRCE可能
30秒で把握
- 1esbuild Deno モジュールがバイナリ取得時に SHA-256 検証を実施せず RCE 可能
- 2NPM_CONFIG_REGISTRY を攻撃者が制御→悪意バイナリをダウンロード・実行
- 3Node.js 版には同等保護あり・Deno 版のみ未実装で CI/CD 環境が標的に
要約
esbuild の Deno モジュール (`lib/deno/mod.ts`) がネイティブバイナリをダウンロードする際に SHA-256 整合性検証を行わない脆弱性が確認された。`NPM_CONFIG_REGISTRY` 環境変数を攻撃者が制御できる場合、任意の悪意あるバイナリをダウンロード・実行させることができ、完全なリモートコード実行 (RCE) が成立する。CI/CD パイプライン・共有開発環境・カスタム npm レジストリを持つ企業環境が特に危険にさらされる。Node.js 版 (`lib/npm/node-install.ts`) では `binaryIntegrityCheck()` 関数による SHA-256 検証が実装済みだが、Deno 版にはこの保護が移植されていなかった。
あなたへの影響
esbuild の Deno モジュールを CI/CD や共有開発環境で利用しているチームは、`NPM_CONFIG_REGISTRY` の設定値を即時確認し、信頼できないレジストリが注入されていないかログ・環境変数を点検すること。
推奨:整合性検証が実装された修正版がリリースされ次第、速やかにアップグレードを適用することを推奨する。