CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitățile Node.js expun aplicațiile Windows la atacuri

16 iulie 2025

Sursă: https://cybersecuritynews.com/

Node.js a lansat actualizări critice de securitate pe mai multe linii de versiuni pentru a aborda două vulnerabilități cu grad de severitate high ce afectează aplicațiile Windows și implementările motorului V8.

Actualizările de securitate sunt acum disponibile pentru versiunile Node.js 20.x, 22.x și 24.x, cu patch-uri ce abordează o vulnerabilitate de tip path traversal bypass și un vector de atac de tip HashDoS care ar putea afecta semnificativ securitatea și performanța aplicațiilor.

O vulnerabilitate identificată drept CVE-2025-27210 a fost identificată în Node.js, vizând în special denumirile dispozitivelor Windows, inclusiv CON, PRN și AUX.

Această problemă reprezintă o remediere incompletă pentru o vulnerabilitate CVE-2025-23084 remediată anterior, demonstrând modul în care atacatorii pot ocoli mecanismele de securitate împotriva unei erori path traversal în funcția path.normalize().

Vulnerabilitatea afectează toți utilizatorii Windows care utilizează API-ul path.join() în liniile de versiuni active 20.x, 22.x și 24.x.

A doua vulnerabilitate, CVE-2025-27209, afectează motorul JavaScript V8 utilizat în Node.js v24.0.0, introducând un vector de atac Hash Denial of Service (HashDoS).

Această vulnerabilitate cu grad de severitate high provine din modificări ale modului în care motorul V8 calculează hash-uri de string-uri utilizând implementarea rapidhash, care reintroduce vulnerabilități bazate pe coliziune.

Atacul HashDoS permite persoanelor rău intenționate să genereze numeroase coliziuni hash prin controlul string-urilor de intrare, chiar și fără cunoașterea nucleului hash.

Aplicațiile care prelucrează date controlate de utilizator prin structuri de date bazate pe hash devin deosebit de vulnerabile la atacurile de epuizare a procesorului.

Se recomandă aplicarea celor mai recente actualizări de securitate disponibile prin versiunile cu patch-uri: Node.js v20.19.4, v22.17.1 și v24.4.1.

Sursă: https://cybersecuritynews.com/windows-node-js-vulnerabilities/

Ai mai putea citi

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026

Vulnerabilitatea din Cisco SD-WAN exploatată în atacuri zero-day din 2023

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |