点击蓝字
关注中科天齐
Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。
异步加密操作可能导致进程崩溃(CVE-2025-23166)
最严重的是一个被评定为"高危"的漏洞,涉及异步加密操作中的错误处理不当问题。
公告指出:"当在后台线程执行时,C++方法SignTraits::DeriveBits()可能基于用户提供的输入错误地调用ThrowException(),导致Node.js进程崩溃。"这尤其令人担忧,因为"此类加密操作通常应用于不受信任的输入,因此攻击者可能利用此机制远程使Node.js运行时崩溃。"
该漏洞影响所有活跃版本系列的用户:20.x、22.x、23.x和24.x。
成功利用此漏洞可能导致Node.js进程崩溃,造成拒绝服务,进而使关键服务中断。
llhttp中的HTTP头部解析漏洞(CVE-2025-23167)
接下来是一个被评定为"中危"的漏洞,涉及Node.js使用的HTTP解析器llhttp中的HTTP头部块终止不当问题。
公告称:"Node.js 20的HTTP解析器存在缺陷,允许使用rnrX而非要求的rnrn来终止HTTP/1头部。"这种看似微小的不一致性具有重大影响:"这种不一致性可能导致请求走私,使攻击者能够绕过基于代理的访问控制并提交未经授权的请求。"
该漏洞特别影响运行llhttp v9之前版本的Node.js 20.x用户。绕过代理控制的能力可能导致未经授权的访问,并可能暴露敏感信息或内部系统。
该问题已通过将llhttp升级至版本9得到修复,新版本现在强制执行正确的头部终止。
文件读取操作中的指针损坏问题(CVE-2025-23165)
最后是一个被评定为"低危"的问题,涉及当第一个参数(args[0])为字符串时,node::fs::ReadFileUtf8函数中的指针损坏问题。
公告详细说明:"在Node.js中,由于uv_fs_s.file中的指针损坏,ReadFileUtf8内部绑定会泄漏内存:分配了UTF-16路径缓冲区,但在设置文件描述符时被覆盖。"其后果是"每次调用都会造成不可恢复的内存泄漏。"随着时间的推移,"重复使用可能导致内存无限增长,最终造成拒绝服务。"
此内存泄漏影响Node.js v20和v22版本系列中依赖ReadFileUtf8的API。虽然评级为低危,但持续的内存泄漏最终会降低性能,并通过耗尽系统内存导致拒绝服务。
立即行动:下载并更新
为降低风险,建议用户尽快更新至以下最新修补版本:
-
Node.js v20.19.2
-
Node.js v22.15.1
-
Node.js v23.11.1
-
Node.js v24.0.2
参考来源:
https://securityonline.info/node-js-alerts-high-severity-flaw-cve-2025-23166-risks-remote-system-crashes-update-immediately/
文章来源:Freebuf
往期阅读
软件源代码安全缺陷检测平台软件安全 网络安全的最后一道防线
中科天齐公司由李炼博士创立
以“中科天齐软件源代码安全缺陷检测平台
(WuKong悟空)”为主打产品
致力打造安全漏洞治理领域新生态的
高新技术企业
长按二维码关注我们
联系方式:400-636-0101
网址:www.woocoom.com
点击在看
分享给小伙伴
点击阅读原文,获得免费预约地址
原文始发于微信公众号(中科天齐软件安全中心):Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论