Node.js是一个基于Chrome V8引擎的JavaScript运行时环境,用于构建快速、可扩展的网络应用程序。作为一个轻量级且高效的平台,Node.js使得使用JavaScript开发服务器端应用变得更加容易。Node.js的模块化架构和丰富的包管理系统(npm)也为开发人员提供了丰富的工具和库。该漏洞是由于后台线程中的 C++ 方法处理不受信任的输入时,未正确验证参数,导致未捕获的异常,进而使 Node.js 进程崩溃。由于此类加密操作常涉及外部输入,攻击者可构造恶意数据远程触发该漏洞,实现拒绝服务。
Node.js < 20.19.2
Node.js < 22.15.1
Node.js < 23.11.1
Node.js < 24.0.2
Node.js >= 20.19.2
Node.js >= 22.15.1
Node.js >= 23.11.1
Node.js >= 24.0.2
下载链接:
https://nodejs.org/en/blog/release
1.https://nodejs.org/en/blog/vulnerability/may-2025-security-releases#improper-error-handling-in-async-cryptographic-operations-crashes-process-cve-2025-23166---high
原文始发于微信公众号(安全聚):【漏洞预警】Node.js 异步加密错误处理不当漏洞(CVE-2025-23166)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论