検出

Node.js 20.x < 20.19.2 / 22.x < 22.15.1 / 22.x < 22.15.1 / 23.x < 23.11.1 / 24.x < 24.0.2 の複数の脆弱性 (2025 年 5 月 14 日水曜日のセキュリティリリース)。

medium Nessus プラグイン ID 236766

Language:

概要

Node.js - JavaScript Runtime Environment は複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Node.js のバージョンは、20.19.2、22.15.1、22.15.1、23.11.1、24.0.2 より前のものです。したがって、2025 年 5 月 14 日水曜日のセキュリティリリースのアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 - Node.js では、ReadFileUtf8 内部バインディングで、uv_fs_s.file の破損したポインターによりメモリが漏洩します。UTF-16 パスバッファが割り当てられますが、その後ファイル記述子が設定されると上書きされます。これにより、各呼び出しで回復不能なメモリリークが発生します。繰り返し使用するとメモリが無制限に増加し、サービス拒否が発生する可能性があります。影響: この脆弱性を報告し修正してくださった Justin Nietzel 氏に感謝の意を表します。
 (CVE-2025-23165)

 - C++ メソッド SignTraits::DeriveBits() が、バックグラウンドスレッドで実行する際にユーザー指定の入力に基づいて ThrowException() を不適切に呼び出し、Node.js プロセスをクラッシュさせる可能性があります。このような暗号化操作は通常、信頼できない入力に適用されます。したがって、このメカニズムでは、攻撃者がリモートで Node.js ランタイムをクラッシュさせる可能性があります。影響: この脆弱性を報告し修正してくださった @panva 氏および @tniessen 氏に感謝の意を表します。(CVE-2025-23166)

 - Node.js 20 の HTTP パーサーの欠陥により、必要な \r\n\r\nの代わりに \r\n\rX が使用されて HTTP/1 ヘッダーが不適切に終了する可能性があります。この不一致により、リクエストのスマグリングが発生し、攻撃者がプロキシベースのアクセス制御をバイパスして、認証されていないリクエストを送信する可能性があります。この問題は、llhttp をバージョン 9 にアップグレードすることで解決されました。これにより、正しいヘッダー終端が実行されるようになります。影響: この脆弱性を報告してくれた kenballus 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。(CVE-2025-23167)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Node.js のバージョンを 20.19.2 / 22.15.1 / 22.15.1 / 23.11.1 / 24.0.2 以降にアップグレードしてください。

参考資料

https://nodejs.org/en/blog/vulnerability/may-2025-security-releases/

プラグインの詳細

深刻度: Medium

ID: 236766

ファイル名: nodejs_2025_may_14.nasl

バージョン: 1.2

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/5/15

更新日: 2025/5/16

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2025-23165

CVSS v3

リスクファクター: Medium

基本値: 6.2

現状値: 5.4

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:nodejs:node.js

必要な KB アイテム: installed_sw/Node.js

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/5/14

脆弱性公開日: 2025/5/14

参照情報

CVE: CVE-2025-23165, CVE-2025-23166, CVE-2025-23167

IAVB: 2025-B-0079