EOLを迎えた古い「Node.js」へのCVE付番、MITREに却下されてしまう

「Node.js」公式ブログにおける発表

　ライフサイクルを終えた（EOL）古い「Node.js」バージョンに付番したCVE番号は、MITREによって却下されてしまったとのこと。「Node.js」の開発チームが3月7日、公式ブログで明らかにした。

　「Node.js」の開発チームは2025年1月のセキュリティアップデートを機に、セキュリティパッチの提供を終了した古いバージョンを利用することを脆弱性とみなし、以下のCVE番号を付与した。

• CVE-2025-23087：「Node.js」v17およびそれより前のすべてのバージョンの利用
• CVE-2025-23088：「Node.js」v19の利用
• CVE-2025-23089：「Node.js」v21の利用

　これはEOLバージョンの実行がセキュリティ上望ましくないことを強調し、アップグレードを推奨することを意図したものだったが、CVE番号は本来、特定の脆弱性にのみ付番されるべきものだ。そのため、協議の結果、サポート終了製品への付番は却下されてしまった。将来的に認められる可能性はあるものの、現時点では原則に外れる運用だと判断されたようだ。

　そうなると、EOLバージョンの利用にセキュリティリスクがあることを示すには、既存のCVE情報をアップデートして、脆弱性がEOLバージョンにも影響することを明記する必要がある。しかし、それぞれの脆弱性がEOLバージョンに影響するかどうかを丁寧に検証し、正しい情報を提供する余力は、「Node.js」開発チームにはない。

　そこで、新たに発見された脆弱性は基本、EOLバージョンすべてに影響するものとして扱われることになった。脆弱性がEOLバージョンに影響しないという情報が外部から寄せられればその情報が反映される可能性はあるが、「Node.js」プロジェクトが積極的に古いバージョンで脆弱性の影響評価を行うことはない。

　なんにせよ、ユーザーはサポートされているバージョンの「Node.js」だけを利用するように心がけるべきだろう。ちなみに、1年以上前にEOLを迎えた「Node.js」v16は、いまだに毎月1,100万以上ものダウンロードがあるという。これは古いバージョンの「Node.js」が広く使われていることを示唆している。