【2025年9月版】core-jsのバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、core-jsのバージョンと脆弱性への対応状況についてまとめたもので、2025年9月4日に執筆しています。

core-jsは、古いブラウザや環境でもECMAScript 標準仕様で定義された機能を利用可能にするPolyfill（ポリフィル）ライブラリであり、Aleksey Kozyatinskiyさん（GitHub上のユーザー名: zloirock）によって開発・サポートされています。

※Polyfillライブラリとは、最新のウェブ機能がサポートされていない古いブラウザ環境において、その機能を模倣して利用可能にするためのライブラリのことを指します。

アクティブインストール数は公表されていませんが、npmでの月間ダウンロード数は3億〜4億件以上、GitHubでも25,200以上のStarを獲得しており、世界的に非常に人気の高いライブラリです。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。

この記事では、企業のWeb担当の皆様に向けて、core-jsの概要並びに、脆弱性及びその対応状況をご紹介することで、core-js自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

前述の通り、core-jsは、古いブラウザや環境（Internet ExplorerとかiOS9・Safari10以前など）でもECMAScript 標準仕様で定義された機能を利用可能にするPolyfill（ポリフィル）ライブラリです。

古いブラウザや環境では標準装備されていないPromise（非同期処理を結果で扱う仕組み）やSymbol（一意な識別子を生成する型）などの新機能を補完し、BabelやWebpackとも連携できるため、フレームワークに依存せず幅広く利用できることから、近年多くのWebサイトで利用されています。

一方で、利用者の多いライブラリは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないライブラリは、クライアントにお勧めしていません。

core-jsについては、一時期開発者の事情で更新が遅延した時期がありましたが、近年は再開されており、最新バージョンでは脆弱性は見つかっていないこと、定期的なバージョンアップがされていることから、2025年9月4日現在、セキュリティ面での問題はないと考えております。

通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）は最新パッチバージョンのみを対象としており、Core-jsでも同様の対応が行われていると考えられます。

2025年9月4日現在での、core-jsのバージョン情報は次の通りです。

※上記の内容は、GitHubの情報を正として、バージョン3.45.1までを掲載しています。
※バージョン3.23.2以下は公式より非推奨であることが公表されているため、グレーにしています。

core-jsの最新バージョンは3.45.1であり、当社が把握している限り、CVEにて採番された脆弱性情報はありません。

また、「core-js 脆弱性」で検索をすると、CVE‑2019‑7740（Joomla!のcore.js に関する脆弱性）に関する情報が見つかるかと思いますが、こちらはJavaScriptライブラリ名が同一なだけで、本記事のcore js に関する脆弱性ではないと考えております。

なお、前述のように、3.23.3より古い全てのバージョンは非推奨とされており、特に2.x系統については、多くの不具合が報告されている他、CVE番号が採番されたわけではありませんが、更新停止自体がセキュリティリスクですので推奨されていません。

※上記見解はあくまで当社の見解であり、本記事における脆弱性情報をご利用になる場合には、必ずJVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

前述のように、Core-jsは人気のあるライブラリであり、Web制作の現場では、よく利用されています。

しかしながら、Core-js自体のバージョンアップをしようと思っても、JavaScriptの知識が必要であったり、作業が複雑であるなどの問題に直面することもあるかと思います。

core-jsを使用したWebサイト制作やアップデートを含む保守・管理に関しては、こちらのお問合せよりお気軽にご相談ください。