CVE-2026-33750: brace-expansion ライブラリの無限ループ脆弱性が AWS ECR イメージを危険に晒す

広く使われる Node.js ライブラリ「brace-expansion」に、特定の入力でプロセスをハングさせ、大量のメモリを消費させる無限ループの脆弱性が発見された。この問題は CVE-2026-33750 として追跡され、CVSS スコア 6.5 の「MEDIUM」深刻度に分類されている。脆弱性は、ステップ値が `0` に設定されたブレースパターン（例: `{1..2..0}`）を `expand()` 関数に渡すことで引き起こされ、シーケンス生成ループが無限に実行されてしまう。

この脆弱性は、バージョン 5.0.3 の `brace-expansion` パッケージを使用する AWS ECR コンテナイメージ（ARN: `arn:aws:ecr:us-east-1:551507900153:repository/elnora-mcp-server`）で特定されている。ライブラリのメンテナは、バージョン 5.0.5、3.0.2、2.0.3、および 1.1.13 でこの問題を修正した。修正が適用されていない環境では、攻撃者が制御する悪意のある入力をこの関数に渡すことで、サービス拒否（DoS）状態を引き起こすリスクがある。

影響を受けるシステムの管理者は、パッケージを修正済みバージョンに更新することが強く推奨される。当面の回避策として、`expand()` 関数に渡される文字列をサニタイズし、ステップ値が `0` でないことを確認する必要がある。この脆弱性は、特に自動化されたビルドパイプラインやサーバーレス関数で外部入力を受け付けるシステムにおいて、予期せぬサービス停止やリソース枯渇を招く可能性がある。