kintone API

2026年4月1日 依存パッケージ(axios)に関するセキュリティ上の注意喚起

SDK

kintone提供のnpmパッケージが依存するaxiosにセキュリティ上の問題が確認されました。

影響を受ける条件

2026年3月31日9:21〜12:15ごろ(JST)の間に、次のいずれかを実行した環境では、問題のあるバージョンのaxiosをインストールした可能性があります。

パッケージのインストール

以下のnpmパッケージをnpm installnpx等で依存解決した際に、問題のあるバージョンのaxiosをインストールした可能性があります。

  • @kintone/rest-api-client(6.1.3以前)
  • @kintone/create-plugin(9.0.2以前)
  • @kintone/customize-uploader(9.0.2以前)
  • @kintone/dts-gen(9.0.2以前)
  • @kintone/webpack-plugin-kintone-plugin(9.0.1以前)
  • @kintone/cli(v1.19.1以前)
  • @kintone/mcp-server(1.3.9以前)

コマンドの実行

次のコマンドはパッケージのインストールを行っていなくても、実行時に内部で依存パッケージ (rest-api-client) をダウンロードするため影響を受ける可能性があります。

@kintone/cli(cli-kintone)

plugin init --template typescriptコマンドの実行が対象です。
npx、グローバルインストール、バイナリのいずれの実行方法も含みます。

1
2
3
4
5

# npxでの実行
npx @kintone/cli plugin init --template typescript

# グローバルインストールからの実行
cli-kintone plugin init --template typescript

@kintone/create-plugin

--template modernオプションでの実行が対象です。

1
2
3
4
5

# npxでの実行
npx @kintone/create-plugin my-plugin --template modern

# グローバルインストールからの実行
create-kintone-plugin my-plugin --template modern

kintone MCPサーバーの利用

MCPクライアント(Claude Desktop等)の設定でnpx @kintone/mcp-serverを指定している場合、サーバー起動時にパッケージがダウンロードされるため、影響を受ける可能性があります。

1
2
3
4
5
6
7
8
9

// mcp.json
{
  "mcpServers": {
    "kintone": {
      "command": "npx",
      "args": ["-y", "@kintone/mcp-server"]
    }
  }
}

利用者の方へ

心当たりのある場合は、公式情報を参照のうえ、認証情報のローテーションなど適切な対応をお願いします。

パッチリリース

今後の予防措置として、axiosの依存バージョンを固定化するパッチリリースを実施しました。

パッケージ リリースバージョン
@kintone/cli (External link) v1.19.2 (External link)
@kintone/mcp-server (External link) 1.3.10 (External link)
@kintone/create-plugin (External link) 9.0.3 (External link)
@kintone/customize-uploader (External link) 9.0.3 (External link)
@kintone/dts-gen (External link) 9.0.3 (External link)
@kintone/rest-api-client (External link) 6.1.4 (External link)
@kintone/webpack-plugin-kintone-plugin (External link) 9.0.2 (External link)