週5300万回使われるテストツールに複数の脆弱性 開発環境乗っ取りのリスク：「テスト環境だから安全」は幻想

開発者が日常的に利用するJavaScriptテストフレームワーク「Vitest」に複数の深刻な脆弱性が見つかった。細工されたURLや特定の通信経路を悪用されると、開発環境そのものが攻撃者の足場になる可能性があるという。

[＠IT]

　セキュリティニュースメディアの「SecurityOnline」は2026年6月5日（現地時間）、JavaScriptテストフレームワーク「Vitest」に深刻な脆弱（ぜいじゃく）性が複数発見されたと報じた。

　これらの脆弱性は遠隔からの任意コード実行につながる恐れがあり、世界で週5300万件超のダウンロード実績を持つ同フレームワークの利用環境に影響を及ぼす可能性がある。攻撃者が開発中のローカル環境を乗っ取り、企業データの窃取が可能になるリスクが指摘されている。

開発者PCが狙われる　Vitestで見つかった3つの侵入ルート

　発見された脆弱性の一つは、アプリケーションフレームワーク内のクエリパラメーター処理に起因するもので「CVE-2026-47428」として追跡されている。この問題では、Webブラウザから送信された入力値が適切なサニタイズ処理を受けないままインラインモジュールスクリプト内に描画される。

　攻撃者は細工したURLを作成し、対象環境のオリジンで任意のコードを実行し、フレームワークの認証トークンを窃取できる。取得した認証情報を利用すると、「vite.config.ts」など主要な設定ファイルを書き換えられる。改ざんされた内容は次回のファイル再読み込み時に内部の「Node.js」機能を通じて実行され、攻撃者が埋め込んだ不正な処理が作動する。

　研究者らは「Windows」環境にも重大な問題を確認した。「CVE-2026-47429」として管理されるこの脆弱性は、認証を必要としない遠隔ファイルアクセスが可能となる。攻撃者は特定のパス操作文字列を送信するだけで、本来アクセスが制限されるべきディレクトリの外部に存在するファイルを取得できる。

　この脆弱性を悪用すると、プロジェクト内外に保存された機密データが漏えいする危険が生じる。開発者が扱うソースコードや設定情報などが第三者に取得される可能性があり、開発環境全体の安全性に影響を及ぼす恐れがある。

　Webブラウザのデバッグ機能に関連する重大な脆弱性も確認された。この問題はChrome DevTools Protocol（CDP）に関係しており、CVSSスコアは9.8と評価されている。Vitestが生のChrome DevTools Protocolコマンドを反映するインタフェースを公開していたことが原因とされる。

　この通信経路は管理用の制限設定を回避できるため、外部から不正な操作を実行される危険がある。攻撃者はこの仕組みを悪用し、悪意のあるファイルをプロジェクトのルートディレクトリに直接ダウンロードさせることが可能となる。こうした手法によっても遠隔からの任意コード実行が成立し、通常の警告機能を回避できると説明されている。

　今回明らかになった脆弱性群は、開発環境そのものを攻撃対象とする点に特徴がある。被害が発生した場合、認証情報の窃取や設定ファイルの改ざん、機密データの流出、不正コードの実行など複数の問題が連鎖的に発生する恐れがある。

　これを受け、オープンソースの保守チームは修正版を公開した。利用者には速やかなアップデートの適用を呼び掛けている。メインパッケージ利用者はバージョン4.1.6または5.0.0-beta.3に移行する必要があるとされている。

　修正版では「allowWrite」および「allowExec」と呼ばれる検証機能が導入された。これらの機能によって書き込み処理やコマンド実行に制御が強化され、不正利用の防止を図る。サーバが公開ネットワークアドレスにバインドされている場合、危険性の高い自動化機能を既定で無効化する仕様に変更された。開発チームは、開発用ランナーを厳格なローカル境界内に配置することも有効な対策として挙げている。

　今回の脆弱性対応だが、ソフトウェアサプライチェーン防御の観点からも、ライブラリの更新を迅速に実施することが有効な防御策になる。開発部門は、自社のサーバ構成や開発環境を確認し、脆弱性の影響有無を調査するとともに、修正版への移行を急ぐ必要がある。