- SERVICE
セキュアな Web サイト制作サービス
- WORKS
- ABOUT US
- NEWS & COLUMN
- IR
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は、core-jsのバージョンと脆弱性への対応状況についてまとめたもので、2026年6月9日に改訂しています。
core-jsは、古いブラウザや環境でもECMAScript 標準仕様で定義された機能を利用可能にするPolyfill(ポリフィル)ライブラリであり、zloirockさん(GitHub上のユーザー名)によって開発・サポートされています。
※Polyfillライブラリとは、最新のウェブ機能がサポートされていない古いブラウザ環境において、その機能を模倣して利用可能にするためのライブラリのことを指します。
アクティブインストール数は公表されていませんが、npmでの月間ダウンロード数は3億〜4億件以上、GitHubでも25,500以上のStarを獲得しており、世界的に非常に人気の高いライブラリです。
一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
この記事では、企業のWeb担当の皆様に向けて、core-jsの概要並びに、脆弱性及びその対応状況をご紹介することで、core-js自体については安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
core-jsとは
前述の通り、core-jsは、古いブラウザや環境(Internet ExplorerとかiOS9・Safari10以前など)でもECMAScript 標準仕様で定義された機能を利用可能にするPolyfill(ポリフィル)ライブラリです。
古いブラウザや環境では標準装備されていないPromise(非同期処理を結果で扱う仕組み)やSymbol(一意な識別子を生成する型)などの新機能を補完し、BabelやWebpackとも連携できるため、フレームワークに依存せず幅広く利用できることから、近年多くのWebサイトで利用されています。
一方で、利用者の多いライブラリは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないライブラリは、クライアントにお勧めしていません。
core-jsについては、一時期開発者の事情で更新が遅延した時期がありましたが、近年は再開されており、最新バージョンでは脆弱性は見つかっていないこと、定期的なバージョンアップがされていることから、2026年6月9日現在、セキュリティ面でのリスクは少ないと考えております。
core-jsのバージョン情報に関するポイント
公式サイトなどに明記はされていませんが、core-jsは、セマンティックバージョニングを採用しており、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。
2026年6月9日現在、core-jsの最新バージョンは3.49.0です。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新パッチバージョンのみを対象としており、Core-jsでもGitHub Security PolicyにThe latest released version of core-js is supported.”と明記されています。
core-jsのバージョン情報
2026年6月9日現在での、core-jsのバージョン情報は次の通りです。
| バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
| 3.49.0 | 2026年3月16日 | サポート中 | - |
| 3.23.3 | 2022年6月26日 | 2022年7月10日 | - |
| 3.23.2 | 2022年6月21日 | 2022年6月26日 | - |
※上記の内容は、GitHubの情報を正として、バージョン3.49.0までを掲載しています。
※npmレジストリ上では、バージョン3.23.3未満に対してdeprecatedメッセージが設定されています。そのため、3.23.2以下のバージョンはメンテナンス対象外かつ利用非推奨として扱われており、最新版へのアップデートが推奨されているものと捉えグレーにしています。
core-jsの脆弱性情報
core-jsの最新バージョンは3.49.0であり、当社が把握している限り、CVEにて採番された脆弱性情報はありません。
また、「core-js 脆弱性」で検索をすると、CVE‑2019‑7740(Joomla!のcore.js に関する脆弱性)に関する情報が見つかるかと思いますが、こちらはJavaScriptライブラリ名が同一なだけで、本記事のcore js に関する脆弱性ではないと考えております。
なお、前述のように、3.23.3より古い全てのバージョンはdeprecated(廃止済み)とされており、特に2.x系統については、多くの不具合が報告されている他、CVE番号が採番されたわけではありませんが、更新停止自体がセキュリティリスクですので推奨されていません。
※上記見解はあくまで当社の見解であり、本記事における脆弱性情報をご利用になる場合には、必ずJVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
core-jsの保守管理を継続する体制について
前述のように、core-jsは人気のあるライブラリであり、Web制作の現場では、よくお世話になるプラグインです。
しかしながら、core-js自体のバージョンアップをしようと思っても、JavaScriptの知識が必要であったり、作業が複雑であるなどの問題に直面することもあるかと思います。
taneCREATIVE株式会社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、core-jsとJavaScriptについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
- この記事を書いた存在
- ちほうタイガー
taneCREATIVEに所属する謎のトラ。
- 本業はWebコンサルタントという名の何でも屋。
「なお、前述のように」と記載したつもりで、あとでチェックしたら「なお、袁術のように」となっていた。
三国志ばかりやっていることがバレたかと思いビビった今日この事。
2026年6月9日改訂
2025年9月4日執筆
