Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
邑安科技 邑安全 2025-05-16 02:23
更多全球网络安全资讯尽在邑安全
Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。
异步加密操作可能导致进程崩溃(CVE-2025-23166)
最严重的是一个被评定为”高危”的漏洞,涉及异步加密操作中的错误处理不当问题。公告指出:”当在后台线程执行时,C++方法SignTraits::DeriveBits()可能基于用户提供的输入错误地调用ThrowException(),导致Node.js进程崩溃。”这尤其令人担忧,因为”此类加密操作通常应用于不受信任的输入,因此攻击者可能利用此机制远程使Node.js运行时崩溃。”
该漏洞影响所有活跃版本系列的用户:20.x、22.x、23.x和24.x。成功利用此漏洞可能导致Node.js进程崩溃,造成拒绝服务,进而使关键服务中断。
llhttp中的HTTP头部解析漏洞(CVE-2025-23167)
接下来是一个被评定为”中危”的漏洞,涉及Node.js使用的HTTP解析器llhttp中的HTTP头部块终止不当问题。公告称:”Node.js 20的HTTP解析器存在缺陷,允许使用\r\n\rX而非要求的\r\n\r\n来终止HTTP/1头部。”这种看似微小的不一致性具有重大影响:”这种不一致性可能导致请求走私,使攻击者能够绕过基于代理的访问控制并提交未经授权的请求。”
该漏洞特别影响运行llhttp v9之前版本的Node.js 20.x用户。绕过代理控制的能力可能导致未经授权的访问,并可能暴露敏感信息或内部系统。该问题已通过将llhttp升级至版本9得到修复,新版本现在强制执行正确的头部终止。
文件读取操作中的指针损坏问题(CVE-2025-23165)
最后是一个被评定为”低危”的问题,涉及当第一个参数(args[0])为字符串时,node::fs::ReadFileUtf8函数中的指针损坏问题。公告详细说明:”在Node.js中,由于uv_fs_s.file中的指针损坏,ReadFileUtf8内部绑定会泄漏内存:分配了UTF-16路径缓冲区,但在设置文件描述符时被覆盖。”其后果是”每次调用都会造成不可恢复的内存泄漏。”随着时间的推移,”重复使用可能导致内存无限增长,最终造成拒绝服务。”
此内存泄漏影响Node.js v20和v22版本系列中依赖ReadFileUtf8的API。虽然评级为低危,但持续的内存泄漏最终会降低性能,并通过耗尽系统内存导致拒绝服务。
立即行动:下载并更新
为降低风险,建议用户尽快更新至以下最新修补版本:
– Node.js v20.19.2
-
Node.js v22.15.1
-
Node.js v23.11.1
-
Node.js v24.0.2
原文来自: securityonline.info
原文链接:
https://securityonline.info/node-js-alerts-high-severity-flaw-cve-2025-23166-risks-remote-system-crashes-update-immediately/
欢迎收藏并分享朋友圈,让五邑人网络更安全
欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!
推荐文章
1
新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现
2