EOLを迎えた古い「Node.js」を利用するのは脆弱性 ～CVE番号を付番へ

「Node.js」プロジェクトによるアナウンス

　「Node.js」プロジェクトは1月6日、ライフサイクルを終えた（EOL、End-of-Life）バージョンに対しCVE番号を付与する方針を発表した。つまり、サポートが切れた古い「Node.js」を利用することは今後、脆弱性として扱われるようになる。

　「Node.js」のEOLバージョンに対してCVEを発行する目的は、以下のように説明されている。

• 意識を高める：EOLバージョンの実行は、アプリケーションを潜在的な脆弱性にさらすことをユーザに強調する
• アップグレードの奨励：積極的にサポートされている「Node.js」のバージョンに更新するよう、組織や開発者に促す
• セキュリティを向上させる：サポートされていない古いバージョンの「Node.js」を実行しているアプリケーションの数を減らす。たとえば、「Node.js」v16は1年以上も前にサポートを終了しているにもかかわらず、毎月1,100万ダウンロードされている

　ちなみに、執筆時現在、サポートされているバージョンは以下の通り。自分が利用している「Node.js」のバージョンを知りたい場合は、「node -v」コマンドを実行すればよい。

• Node.js 23 (Current)
• Node.js 22 (LTS)
• Node.js 20 (Maintenance LTS)
• Node.js 18 (Maintenance LTS)

　それ以外のバージョンはサポートされておらず、間もなくCVE番号が付番される。共通脆弱性タイプ（CWE）は「CWE-1104」（保守されていないサードパーティコンポーネントの使用）となる。