CVE‑2025‑27210 & CVE‑2025‑27209:Node.js 两大高危漏洞威胁 Windows 应用与哈希服务
目录
- 这是什么漏洞?
- 何时发现并修复?
- 为何危险?
- 这些漏洞的影响?
这是什么漏洞?
Node.js 中发现了两大高危漏洞:CVE‑2025‑27210 和 CVE‑2025‑27209。前者是一个路径遍历绕过漏洞,利用了 Windows 的设备名(如 CON、PRN、AUX)。后者是 Node.js 24.x 版本 V8 引擎中因重新引入 rapidhash 算法而导致的哈希碰撞拒绝服务(HashDoS)漏洞。
CVE‑2025‑27210:
影响运行 Node.js 20.x、22.x 或 24.x 的 Windows 用户,且在使用 path.normalize() 或 path.join() 时受影响。这些 API 对保留设备名的处理存在缺陷。
CVE‑2025‑27209: 影响所有 Node.js 24.x 的用户。当攻击者提交精心构造的字符串引发哈希碰撞时,即可触发该漏洞。
CVE‑2025‑27210 利用了 Windows 文件系统的特殊机制。像 CON 这样的设备名会被特殊处理,Node.js 的规范化函数可能被绕过。
CVE‑2025‑27209 是跨平台的,只要 Node.js 24.x 版本处理用户控制的字符串(如 API、表单、JSON 解析),就可能暴露风险。
何时发现并修复?
这两个问题均于 2025 年 7 月 15 日至 17 日左右公开披露。安全版本已于 2025 年 7 月 15 日发布:
- Node.js 20 → v20.19.4
- Node.js 22 → v22.17.1
- Node.js 24 → v24.4.1
为何危险?
路径遍历(CVE‑2025‑27210): 攻击者可通过利用 Windows 保留设备名绕过安全控制,访问或修改敏感文件,可能导致配置文件或用户数据泄露。
哈希碰撞拒绝服务(CVE‑2025‑27209): 精心构造的输入可触发哈希碰撞,导致 CPU 资源耗尽及服务中断,可能引发系统停机、性能下降或托管成本增加。
这些漏洞的影响?
- Windows 服务器上的未授权文件访问
- 任何使用 Node.js 24.x 的部署环境均可能遭遇完全的资源耗尽
- 潜在的数据泄露、服务中断,或因停机及滥用带来的经济损失
致谢: Securityonline
Fofa
CSD0tFqvECLokhw9aBeRqopJDR93OU7WxHE+knUD6TM/H0d8F5g5LoHWqER/9zeY3ZICsxX7321xD4w2yRG0oRkCuVrh0idKvO/nE5eh4tXbcwCQ/FlqlxcQAr/IRBalJR9q91jhhSpPWHNJb/3NYwOZf3//UYaJvbSiz2H76zs=
