axios (v1.7.7 → v1.12.2)
変更点まとめ
| リリース | 主な変更点・追加機能・修正内容 | 影響・備考 |
|---|---|---|
| v1.8.x (2024年3月) | allowAbsoluteUrls無視バグ修正(SSRF脆弱性対策)nvd.nist.gov;buildFullPath処理改善app.unpkg.com;各種バグ修正(設定マージ不具合修正等) | 相対URL強制オプションが有効になり、baseURL設定を持つ環境で任意の絶対URLへのリクエストがブロックされるよう改善nvd.nist.gov |
| v1.9.0 (2024年4月) | バグ修正の累積リリース。AxiosHeaders.getSetCookieメソッド追加(Set-Cookieヘッダー取得対応)github.comgithub.com | 非破壊的変更。通常のアップデートで互換性問題はなし |
| v1.10.0 (2024年9月) | Fetch APIアダプタの強化(Node.jsでのFormData送信時Content-Type設定修正等)app.unpkg.com;paramsシリアライザの改良([]文字のエンコード変更)app.unpkg.com;その他内部修正 | 注意:このバージョンのみform-data依存の脆弱性が存在(後述) |
| v1.11.0 (2024年12月) | 依存ライブラリ更新 – multipart送信で利用するform-dataの脆弱性 (予測可能な境界文字列生成) を修正github.comgithub.com;Node環境でのストリーム処理改善 等 | axios@1.10の脆弱性解消。マルチパートフォームの境界文字列が予測困難になりセキュリティ向上 |
| v1.12.x (2025年9月) | Fetchアダプタ機能の拡充(低レベルネットワークエラー情報の取得等)app.unpkg.com;JSONパースにreviver関数サポート追加app.unpkg.com;型定義の改善 等。data:URIの処理を安全化(サイズ制限を適用しDoS防止vulert.com) | 破壊的変更なし。ブラウザ環境ではFetch使用時の挙動が向上。data:URLによるメモリ消費攻撃に対処(大容量データURIは拒否)vulert.com |
既知の脆弱性
- SSRF脆弱性 (CVE-2025-27152) –
baseURL設定時に絶対URLを許容してしまう問題。1.8.2で修正済みnvd.nist.gov。現行1.7.7はこの問題の影響下であり、攻撃者により内部向けURLへリクエストを送信される恐れがあります。 - SSRF脆弱性 (CVE-2024-39338) – パス相対URLがプロトコル相対URLとして解釈される問題security.snyk.io。1.7.4で修正済み。現行1.7.7では既に対策済みです。
- DoS脆弱性 (CVE-2025-58754) –
data:スキームURIの扱いに起因するメモリ枯渇攻撃の恐れ。1.12.0でサイズ検証を導入し修正vulert.com。現行1.7.7は未対策のため、大容量data:URIによるサービス不能攻撃に晒される可能性があります。 - フォームデータ境界値の脆弱性 (CVE-2025-7783) – axios 1.10.0において、依存する
form-dataライブラリの乱数生成が不十分でマルチパート境界文字列が予測可能になる問題github.com。1.11.0でform-data更新により解消github.com。※現行1.7.7は該当バージョンではないものの、アップデート時に1.10.0を経由すると同問題に遭遇する可能性があり注意が必要。
アップデートの判断と理由
現行v1.7.7には深刻なSSRF脆弱性が残存し、またdata:URI悪用によるDoSリスクも抱えています。セキュリティ観点で非常に危険な状態のため、至急最新1.12.2へのアップデートを推奨しますnvd.nist.govvulert.com。アップデートにより既知の脆弱性は概ね解消されます。1.8系以降でallowAbsoluteUrls: falseがデフォルト有効化され挙動が一部変わる点や、1.10→1.11での内部依存更新による影響はありますが、基本的に非互換変更は軽微です。重大なリスクに比べれば影響は小さいため、速やかなアップデートが必要と判断します。
vue (v3.3.4 → v3.5.22)
変更点まとめ
| リリース | 主な変更内容・新機能 | 影響・互換性 |
|---|---|---|
| v3.4系 (「Slam Dunk」2023年12月) | 内部最適化: テンプレートパーサーを再実装しパフォーマンス2倍blog.vuejs.org、リアクティブシステムをリファクタリングして不要な再計算削減blog.vuejs.org。 新機能: <script setup>の**defineModelが安定化**(v-model対応簡略化)blog.vuejs.org、v-bindの同名プロパティ省略記法を追加(:propだけでバインド可能)blog.vuejs.orgblog.vuejs.org。DX改善: ハイドレーションエラーのメッセージ改善blog.vuejs.org。 削除: 非推奨APIの廃止(グローバルJSX名前空間の自動登録削除blog.vuejs.org、リアクティブトランスフォーム機能削除等blog.vuejs.org) | 若干の破壊的変更あり: 既存コードでVue 3.3までの非推奨機能を使っている場合はコンソール警告に従い修正が必要blog.vuejs.org。特にTSX利用プロジェクトではグローバルJSX名前空間が自動定義されなくなるため、tsconfig設定追加が必要blog.vuejs.org |
| v3.5系 (「Tengen Toppa」2024年9月) | リアクティブシステム更なる最適化: 処理速度向上・メモリ使用56%削減blog.vuejs.org(動作自体に変更なし)。 Reactive Props Destructure機能がデフォルト有効化: <script setup>内でdefinePropsから分割代入した変数がリアクティブになる(デフォルト値もネイティブ文法で記述可)blog.vuejs.orgblog.vuejs.org。SSR改善: コンポーネント遅延ハイドレーション機能(表示タイミングまでクライアントレンダリング遅延)blog.vuejs.org、ユニークID生成API useId()追加blog.vuejs.org、属性差分を許容するdata-allow-mismatch追加blog.vuejs.org。カスタム要素強化: defineCustomElementでホスト要素やShadow DOMにアクセスするAPI (useHost等)追加、Shadow DOM無効化オプション追加 等blog.vuejs.org。その他新API: テンプレートリファレンス取得の useTemplateRef()blog.vuejs.orgblog.vuejs.org、<Teleport>に遅延マウントするdefer属性追加blog.vuejs.org、ウォッチャーのクリーンアップ検知onWatcherCleanup()blog.vuejs.org 等多数。 | 非破壊的リリース。blog.vuejs.org既存機能の挙動は変わらず、新機能は必要に応じて採用可能。パフォーマンス向上により再レンダリングやSSR安定性が改善。 (※Vue 3.4で削除されたAPIは引き続き使用不可) |
既知の脆弱性
- 重大な脆弱性報告なし – Vue 3系(特にv3.3~v3.5)において、公表されている深刻な脆弱性は確認されていませんsecurity.snyk.io。以前、Vue2系のテンプレートコンパイラにおけるXSS脆弱性(CVE-2024-6783)が報告されましたが、本件はVue 3では問題ないとされていますsecurity.snyk.io。またVue 3標準のコンパイラ機能を通常利用する限り、直接のセキュリティリスクは低いと考えられます。
- 補足: 開発ツール(vue-cli古版や一部プラグイン)に関する脆弱性報告はありますが、本番ビルド済みコードの実行に影響する問題は知られていません。
アップデートの判断と理由
Vue 3.3.4から3.5.22へのアップデートはセキュリティ上の緊急性は低く、計画的な実施で問題ありません。現行バージョンに深刻な脆弱性は報告されておらず、アップデートによるセキュリティ向上よりもパフォーマンス改善や新機能の恩恵が主な目的となります。blog.vuejs.orgblog.vuejs.org ただし、3.4で非推奨APIが削除されているため、該当機能(例:古いJSX型定義や実験的リアクティブトランスフォーム等)を使っている場合は事前にコード修正が必要です。
総合的に、アップデートは推奨されますが、緊急ではありません。十分な検証期間を確保し、関連依存ツール(ビルドツールや型定義ライブラリ)も含めて計画的にアップデートすると良いでしょう。
jQuery (v3.6.0 → v4.0.0-rc.1)
変更点まとめ
| リリース | 主な変更点・修正 | 影響・互換性/対応 |
|---|---|---|
| v4.0.0 (RC版) (2025年8月時点最新) | レガシーブラウザサポート終了: IE11未満をサポート対象外にblog.jquery.comstage.jquery.com。 非推奨APIの削除: jQuery.trim/$.parseJSON等のユーティリティ関数を廃止stage.jquery.comstage.jquery.com、jQuery.isFunction/isNumeric削除stage.jquery.com、独自のArrayメソッド(push/sort/splice)削除stage.jquery.com等、多数。動作仕様の変更: $().css()において数値指定時に自動で“px”を付与する挙動を削除(必要なら明示的に単位指定)stage.jquery.com;透明度取得時の特殊処理削除stage.jquery.com。イベント周りでは focusin/focusoutの特殊ハンドリング削除(ブラウザ標準準拠に変更)stage.jquery.com。セキュリティ改善: Trusted Types対応( $.html()等で安全なコンテンツのみ許可)stage.jquery.com。その他: スリムビルドでDeferred/Callbacksモジュール除外stage.jquery.com;内部コードをESモジュール化 等。 | 大規模な破壊的変更を含むメジャーアップデート。IE10以下のサポート喪失に注意。廃止APIを使用している箇所はエラーになるため要修正。stage.jquery.com特に$.trim等はネイティブ関数で代替可能。CSS単位自動付与廃止により、スタイル指定の一部で値の見直しが必要。イベント順序の微妙な変化により、一部コード(古いIE依存のもの)が影響を受ける可能性あり。 移行手順: jQuery公式の**Migrateプラグイン(v4.0)**を利用し、コンソール警告を参考に修正すると安全ですstage.jquery.com。現状RC版のため、更なる変更が入る可能性もあり。 |
既知の脆弱性
- 既知の重大な脆弱性なし(現行3.6.0~4.0.0-rc) – jQuery 3系後半以降、公表されている深刻な脆弱性は存在しません。過去にはXSS脆弱性(CVE-2020-11022/CVE-2020-11023)が報告されましたが、3.5.0で修正済みでありmy.f5.com、現行v3.6.0は対策後のバージョンです。またPrototype Pollution脆弱性(CVE-2019-11358)も3.4.0で修正されており、現行に影響はありません。
- 4.0.0-rcにおける脆弱性情報 – 現時点でjQuery 4.0.0に関する新たな脆弱性報告はありません。RC版のため今後セキュリティ監査が進む可能性はありますが、現行で問題となる既知脆弱性は確認されていません。
アップデートの判断と理由
jQuery 4.0は大幅な改変を含むメジャーリリースであり、現行3.6.0からの移行には慎重な検討が必要です。幸い現行3.6.0自体に深刻な脆弱性はなくmy.f5.com、急いでアップデートすべきセキュリティ上の理由はありません。一方で4.0では古いブラウザ対応を切り捨て、過去の非推奨機能も削除されているため、レガシーなコードやIEサポートが必要なプロジェクトでは安易なアップデートは動作不良を招きます。
以上より、**jQueryのアップデートは「据え置きまたは慎重な計画的実施」**が妥当です。まずは4.0.0正式版のリリースを待ち、Migrateプラグインを用いて自社コードの互換性を検証・修正してから移行することを推奨しますstage.jquery.com。緊急性は低いため、当面は現行バージョンを維持しつつ、将来的なアップデート計画を立てればよいでしょう。
pdf.js(pdfjs-dist) (v5.1.9 → v5.4.296)
変更点まとめ
| リリース | 主な変更・強化点 | 影響・互換性 |
|---|---|---|
| v5.2 ~ v5.4系 (2024-2025年) | PDFビューア機能拡充: 注釈コメントの編集機能(Annotation Editor)の追加・改良github.comに伴い、コメント用ポップアップUIやサイドバーの実装、各種ボタン操作が追加。 描画品質・性能向上: フォント描画とフォントデータ変換の最適化github.com、ソフトマスク(SMask)処理の品質改善github.com、詳細プレビュー描画の解像度向上github.com等。 テキスト選択・印刷の改善: テキスト選択範囲計算の不具合修正と精度向上(特にChromeでの選択挙動改善github.com)、印刷時の安定性向上(タイムゾーン依存の日時表示修正github.com等)。 パフォーマンス最適化: メモリ使用量削減のための内部処理見直し(不要オブジェクトの除去や反復処理の効率化github.comgithub.com)、画像データのキャッシュ改善 等。 その他バグ修正多数(フォームXObjectの循環参照対策github.com、Safariでの文字選択不具合対応、依存ライブラリ更新 等)。 | 互換性維持: APIレベルの破壊的変更は特になし。Viewer UIに新しい注釈編集ボタンやサイドバーが増えるが、既存機能への影響は限定的。 機能追加によるファイルサイズ増加は軽微(レガシービルドも提供)。 |
既知の脆弱性
- 任意コード実行の脆弱性 (CVE-2024-4367) – 過去バージョンのPDF.jsにて、フォント読み込み時に
evalが使用されていたことから生じたコードインジェクションの問題。4.2.67で修正済み(オプションでisEvalSupportedをデフォルト無効化)security.snyk.io。現行v5.1.9はこの修正を含む系統のため、本脆弱性の影響は受けません。 - XSS脆弱性 – 非常に古いv2系(<2.0.943)にPDFレンダリング時のXSS脆弱性報告ありsecurity.snyk.io。2.0.943で修正済みであり、v5系には該当なし。
- 現行バージョンの安全性 – Snyk脆弱性DBによればpdfjs-dist 5.x系列に既知の脆弱性は存在しないとされていますsecurity.snyk.io。従って5.1.9および最新5.4.296はセキュリティ上概ね良好です。
アップデートの判断と理由
現行v5.1.9からv5.4.296へのアップデートは、主に機能拡張と品質改善を取り込む目的になります。セキュリティ面では現行版でも重大な問題は報告されておらず、緊急性は高くありません。ただし、v5.1系は既に古い安定版であり、今後の不具合修正や機能追加は最新5.4系で行われます。特にPDF注釈の編集機能などユーザビリティ向上が図られているため、これらが必要な場合はアップデートの価値があります。
幸い互換性の懸念は小さいため、アップデートに伴う既存コードへの影響はほぼありません。ViewerのUI変更(コメント機能追加など)を受け入れられるか確認しつつ、計画的に最新版へアップデートして良いでしょう。緊急ではありませんが、メンテナンスのタイミングで最新版に追随することで、将来の脆弱性修正や改良も取り込みやすくなるという利点があります。
参考資料:(各ライブラリ公式リリースノート、セキュリティ勧告より)nvd.nist.govvulert.comblog.vuejs.orgblog.vuejs.orgblog.jquery.comstage.jquery.comgithub.comsecurity.snyk.ioなど.
引用
https://nvd.nist.gov/vuln/detail/CVE-2025-27152UNPKGhttps://app.unpkg.com/axios@1.12.2/files/CHANGELOG.mdReleases · axios/axios · GitHubhttps://github.com/axios/axios/releasesReleases · axios/axios · GitHubhttps://github.com/axios/axios/releasesUNPKGhttps://app.unpkg.com/axios@1.12.2/files/CHANGELOG.mdUNPKGhttps://app.unpkg.com/axios@1.12.2/files/CHANGELOG.mdTransitive Critical Vulnerability via form-data@4.0.0 in axios@1.10.0 — Predictable Boundary Values (CVE-2025-7783) · Advisory · axios/axios · GitHubhttps://github.com/axios/axios/security/advisories/GHSA-rm8p-cx58-hcvxTransitive Critical Vulnerability via form-data@4.0.0 in axios@1.10.0 — Predictable Boundary Values (CVE-2025-7783) · Advisory · axios/axios · GitHubhttps://github.com/axios/axios/security/advisories/GHSA-rm8p-cx58-hcvxUNPKGhttps://app.unpkg.com/axios@1.12.2/files/CHANGELOG.mdUNPKGhttps://app.unpkg.com/axios@1.12.2/files/CHANGELOG.mdSSRF and Credential Leakage Vulnerability in axios Packagehttps://vulert.com/vuln-db/npm-axios-185431Server-side Request Forgery (SSRF) in axios | CVE-2024-39338 | Snykhttps://security.snyk.io/vuln/SNYK-JS-AXIOS-7361793Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.4 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-4Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Announcing Vue 3.5 | The Vue Pointhttps://blog.vuejs.org/posts/vue-3-5Cross-site Scripting (XSS) in vue-template-compiler | CVE-2024-6783 | Snykhttps://security.snyk.io/vuln/SNYK-JS-VUETEMPLATECOMPILER-7554675jQuery 4.0.0 Release Candidate 1 | Official jQuery Bloghttps://blog.jquery.com/2025/08/11/jquery-4-0-0-release-candidate-1/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/jQuery Core 4.0 Upgrade Guide | jQueryhttps://stage.jquery.com/upgrade-guide/4.0/K02453220: jQuery vulnerability CVE-2020-11022 – MyF5 | Supporthttps://my.f5.com/manage/s/article/K02453220Releases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesReleases · mozilla/pdf.js · GitHubhttps://github.com/mozilla/pdf.js/releasesArbitrary Code Injection in pdfjs-dist | CVE-2024-4367 | Snykhttps://security.snyk.io/vuln/SNYK-JS-PDFJSDIST-6810403pdfjs-dist vulnerabilities | Snykhttps://security.snyk.io/package/npm/pdfjs-distpdfjs-dist vulnerabilities | Snykhttps://security.snyk.io/package/npm/pdfjs-dist
ーーーーーーーーーーーーーーーーーーーーーーーー
| ライブラリ | 主な脆弱性内容 | ブラウザ実行での影響 | 理由・補足 |
|---|---|---|---|
| Axios | – SSRF(Server Side Request Forgery) – DoS( data:URIによるメモリ枯渇)– form-data境界値の推測(multipart脆弱性) | 🚫 ほぼ影響なし | SSRFはサーバーが内部ネットワークへアクセスできる前提の脆弱性。ブラウザからはCORS制約で内部通信不可。DoSはNodeアダプタ特有(ブラウザではFetch/XHR経由で発生しない)。form-data問題もNodeのform-dataライブラリ依存で、ブラウザのFormDataとは別。→ ブラウザ利用なら安全側。 |
| Vue.js(3.x) | – 過去にVue 2系でテンプレートコンパイラにXSSの脆弱性(CVE-2024-6783) – 3.xでは深刻なCVE報告なし | ⚠️ 構成次第で間接的影響あり | Vue 3自身にCVEは無いが、v-htmlで外部HTMLを挿入すればアプリ実装側でXSSが起こる。また開発版(dev build)を本番で使うと内部情報露出。→ ライブラリ脆弱性というより使い方によるXSSリスク。 |
| jQuery | – 旧版(<3.5.0)でXSS脆弱性(CVE-2020-11022/11023) – Prototype Pollution(CVE-2019-11358) | ✅ 影響あり(旧版のみ) | あなたの現行3.6.0は既に修正版なので安全。だが、古いプラグイン(jQuery 1.x/2.x互換)を混在させている場合は再発することも。4.0.0-rcでは新脆弱性は確認なし。→ 最新版なら問題なし。 |
| pdf.js(pdfjs-dist) | – CVE-2024-4367:悪意PDFによる任意JS実行(4.2.67で修正済) – 旧版(2.x以前)でXSS/DoS脆弱性 | ⚠️ ブラウザ実行時でも直接影響あり | pdf.js はブラウザ上でPDFをパースし、evalやCanvas描画を行うため、悪意あるPDFを開くとブラウザでコード実行・クラッシュが起こり得る。Node専用脆弱性ではない。→ このライブラリだけはブラウザ実行でも更新必須。 |
🔎 各ライブラリの要点まとめ(ブラウザ限定視点)
| ライブラリ | 実害リスク | 対応方針 |
|---|---|---|
| Axios | 低(Node用脆弱性のみ) | 放置でも実害なし。ただし最新版にしておくと保守性◎。 |
| Vue.js | 中(実装ミスでXSS化) | ライブラリ由来のCVEなし。v-html禁止、productionビルド使用。 |
| jQuery | 低〜中(古い3.4以前でXSS) | 現行3.6.0以上なら安全。4.0は破壊的変更多いので慎重に。 |
| pdf.js |
🔐 補足(技術的な根拠)
- AxiosのDoSとSSRFはAxios GitHubのCVE修正ログにも「Nodeアダプタでのみ発生」と明記されており、ブラウザ版は
fetchまたはXMLHttpRequestを使うため無関係。 - VueのXSS脆弱性(CVE-2024-6783)は2系テンプレートコンパイラ限定で、Vue 3では再現せず。
- jQueryのCVE-2020-11022/23は
htmlPrefilterによるXSSで、3.5.0以降修正済。 - pdf.js の CVE-2024-4367 はブラウザのJS実行コンテキスト内で発動するため、フロント環境でも実害を生む。
