漏洞摘要
Node.js针对CVE-2025-23084的修复方案存在缺陷,特定于CON、PRN、AUX等Windows设备名称可绕过path.normalize()的路径遍历保护机制。该漏洞影响使用path.join API的Windows用户。
时间线
- 2025年5月23日:oblivionsage向Node.js提交漏洞报告
- 5月27日:Node.js工作人员rafaelgss将状态变更为"已分类"
- 6月17日:双方进行多轮技术讨论
- 近日:CVE编号更新为CVE-2025-27210
- 2天前:报告状态变为"已解决"并公开披露
技术细节
漏洞类型:路径遍历(Path Traversal)
影响平台:Windows系统
受影响组件:path.normalize()函数
绕过方式:利用Windows保留设备名称(CON/PRN/AUX)
严重等级:高危(7.5分)
处置状态
- 漏洞状态:已修复(Resolved)
- 披露时间:2025年7月15日
- 研究人员:oblivionsage(ID已验证)
- 赏金状态:隐藏
