JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-017422 eventsource-encoderは、イベントを適切に形成されたEventSource/Server-Sent Event（SSE）メッセージとしてエンコードします。バージョン1.0.2以前のeventsource-encoderは、EventSourceMessageのeventまたはidフィールドをシリアライズする前にサニタイズしていませんでした。これらのフィールドのいずれかを制御できる攻撃者は、任意のServer-Sent Eventsの行区切り文字（\n、\r、または\r\n）を挿入でき、それによりストリーム上に追加のSSEフィールドやメッセージ全体を偽造することが可能でした。この脆弱性はバージョン1.0.2で修正されました。 cpe:/a:rexxars:eventsource-encoder https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017422.html Common Vulnerabilities and Exposures (CVE) CVE-2026-44214 https://www.cve.org/CVERecord?id=CVE-2026-44214 National Vulnerability Database (NVD) CVE-2026-44214 https://nvd.nist.gov/vuln/detail/CVE-2026-44214 GitHub SSE event injection via unsanitized `event` and `id` fields Advisory rexxars/eventsource-encoder GitHub https://github.com/rexxars/eventsource-encoder/security/advisories/GHSA-m9g3-3g99-mhpx JVNDB CWE-93 https://cwe.mitre.org/data/definitions/93.html JVNDB CWE-113 https://cwe.mitre.org/data/definitions/113.html 2026-06-03T15:38:44+09:00 2026-06-03T15:38:44+09:00