Node.js 20.x < 20.19.4 / 22.x < 22.17.1 / 24.x < 24.4.1 多个漏洞(2025 年 7 月 15 日星期二安全版本)。
high Nessus 插件 ID 242134
语言:
简介
Node.js - JavaScript 运行环境受到多个漏洞的影响。描述
远程主机上安装的 Node.js 版本低于 20.19.4、22.17.1、24.4.1。因此,它受到 2025 年 7 月 15 日星期二安全版本公告中提及的多个漏洞影响。- Node.js v24.0.0 中使用的 V8 版本更改了使用 rapidhash 计算字符串哈希的方式。此实现重新引入了 HashDoS 漏洞,因为能够控制待哈希字符串的攻击者可能会生成许多哈希冲突,即攻击者即使不知道哈希种子也可能生成冲突。V8 团队未将此问题列为安全漏洞,但由于它可能会对实际场景造成影响,Node.js 项目将其视为安全漏洞。影响 : 感谢 sharp_edged 报告此漏洞,同时感谢 targos 修复此漏洞。(CVE-2025-27209)
- 在 Node.js 中发现针对 CVE-2025-23084 的不完整补丁,具体会影响 CON、PRN 和 AUX 等 Windows 设备名称。此漏洞会影响 path.join API 的 Windows 用户。影响:感谢 oblivionsage 报告此漏洞,同时感谢 RafaelGSS 修复此漏洞。
(CVE-2025-27210)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Node.js 20.19.4 / 22.17.1 / 24.4.1 或更高版本。另见
https://nodejs.org/en/blog/vulnerability/july-2025-security-releases/
插件详情
严重性: High
ID: 242134
文件名: nodejs_2025_jul_15.nasl
版本: 1.3
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2025/7/15
最近更新时间: 2025/8/26
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.1
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2025-27209
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:nodejs:node.js
必需的 KB 项: installed_sw/Node.js
易利用性: No known exploits are available
补丁发布日期: 2025/7/15
漏洞发布日期: 2025/7/15
参考资料信息
CVE: CVE-2025-27209, CVE-2025-27210
IAVB: 2025-B-0120