2026/2/19にSwiper（JSライブラリ）の特定バージョン（6.5.1 以上、12.1.2 未満）において、脆弱性が発覚した件につきまして、弊社の見解と対応方針をお伝えいたします。

参照：CVE-2026-27212: Prototype pollution in swiper
https://advisories.gitlab.com/pkg/npm/swiper/CVE-2026-27212

■脆弱性の概要
今回のSwiperの脆弱性は、外部から渡された値（URLパラメータなど）を適切に処理していない場合に、サイト内のJavaScriptの動作に影響を与える可能性がある問題（プロトタイプ汚染）です。

Swiperの表示機能そのものというより、ページ全体のJavaScriptの挙動に影響が及ぶ可能性がある点がポイントです。

■攻撃が成立する条件
この脆弱性が悪用されるには、URLパラメータなどの外部入力を取得し、その値をSwiperの設定値などに渡す処理（連携処理）が存在する、という実装が条件となります。

つまり、そのような処理をしていない場合、本脆弱性が成立する構造にはなっていません。

■個人情報漏洩リスクの可能性
今回の脆弱性は、それ単体で個人情報を抜き取ったり、外部に送信したりするものではありませんが、
もし別途XSS（スクリプト注入）などの脆弱性が存在し、攻撃者が任意のJavaScriptを実行できる状態が組み合わさった場合には、理論上は情報取得リスクが拡大する可能性があります。

しかし、現在そのような別の脆弱性が確認されていない場合、外部入力を適切に制御している場合には、直ちに個人情報漏洩につながる性質のものではありません。

■どのような攻撃が可能なのか
悪用された場合、理論上は以下のような影響が考えられます。

例）
内部で利用しているフラグ（ON／OFFなど）が想定外の値になる
本来無効であるべき状態が、有効であるかのように判定される
条件分岐のロジックが誤動作する
その結果、特定の機能が有効になったように表示される（例えば、使えないクーポンが使えるように「見えてしまう」）といった、画面上の表示やフロント側の判定が誤動作する可能性があります。

ただし、通常のECサイトでは個人情報や注文などのクリティカルな要素（クーポンの有効性、金額計算、注文確定処理など）はサーバー側でも再検証されるため、画面表示が誤動作したとしても、実際に不正な注文が成立する可能性は限定的です。

■TRYANGLEとしての対応方針
弊社にて実装したサイトにおいてはリスクレベルが高くないと判断し、一律での修正対応は行いません。
修正依頼をご希望いただいくお客様へは、個別見積の上対応させて頂きます。

・対応内容
Swiperをバージョン12.1.2以上へアップデートします。

■本件に関するお問い合わせ先
　株式会社TRYANGLE
　TEL：03-5312-7795 ／ FAX：03-5312-7796
　mail：contact@tryangle-inc.co.jp
　URL：https://www.tryangle-inc.co.jp/contact/