Trusted DesignCVE-2025-54313 の詳細
CVEの情報
説明:
eslint-config-prettier 8.10.1, 9.1.1, 10.1.6, and 10.1.7 has embedded malicious code for a supply chain compromise. Installing an affected package executes an install.js file that launches the node-gyp.dll malware on Windows.
CVE更新日: 2025-07-19 17:15:23.733000
CVSSバージョン: 3.1
CVSSスコア: 7.5
KEVの情報
KEV更新日: 2026-01-22
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.077710000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2025-54313は、eslint-config-prettierの複数バージョンに埋め込まれた悪意あるコードによるサプライチェーン攻撃です。インストール時にinstall.jsが実行され、Windows上でnode-gyp.dllマルウェアを起動します。 【1. 脆弱性の概要】 ■ 影響 - npm install時にinstall.jsが自動実行されます。 - Windows環境でnode-gyp.dllがrundll32.exeにより実行されます。 - 任意コード実行・マルウェア感染が可能となります。 - Windows以外ではinstall.jsは即終了します。 ■ 深刻度 - CVSS 3.1:7.5 (High) 【2. 対象となる環境】 ■ 影響を受けるバージョン - eslint-config-prettier 8.10.1, 9.1.1, 10.1.6, 10.1.7 ■ 影響を受けるOS - Windowsのみ影響 ■ 影響を受ける設定 - npm installにより該当バージョンを取得した環境 【3. 影響を受けた時の兆候】 - Windowsでrundll32.exeによりnode-gyp.dllが実行されます。 【4. 推奨対策】 ■ 本対策 - 悪意あるバージョンを削除し正常版へ更新してください。 ■ 暫定回避策 - 悪意あるバージョンをインストールしないこと。 - Windowsでのnpm installの監視強化。 【5. 追加で知っておくべき情報】 ■ 攻撃原因 - npmトークンがフィッシングで盗まれ悪意あるバージョンが公開されました。