Node.js 20.x < 20.19.4/22.x < 22.17.1/24.x < 24.4.1 の複数の脆弱性 (2025 年 7 月 15 日火曜日のセキュリティリリース)。

critical Nessus プラグイン ID 242134

概要

Node.js - JavaScript Runtime Environment は複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Node.js のバージョンは、20.19.4、22.17.1、24.4.1より前のものです。したがって、2025 年 7 月 15 日火曜日のセキュリティリリースのアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Node.js v24.0.0 で使用されている V8 リリースでは、rapidhash を使用して文字列ハッシュを計算する方法が変更されました。この実装により、文字列のハッシュ化をコントロールできる攻撃者は、多数のハッシュ衝突を引き起こす可能性があるため、HashDoS の脆弱性が再び導入されます。攻撃者は、ハッシュシードを知らなくても、衝突を引き起こすことができます。V8 チームはこの問題をセキュリティ脆弱性として分類していませんが、Node.js プロジェクトは、実際のシナリオでの潜在的な影響があるため、脆弱性として扱っています。影響: この脆弱性を報告してくださった sharp_edged 氏と、修正してくださった targos 氏に感謝の意を表します。(CVE-2025-27209)

- Node.js の CVE-2025-23084 に対する修正が不完全であることが判明しました。これは特に、CON、PRN、AUX などの Windows デバイス名に影響を与えます。この脆弱性は、path.join API の Windows ユーザーに影響を与えます。この脆弱性を報告してくれた oblivionsage 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。
(CVE-2025-27210)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Node.js のバージョンを 20.19.4/22.17.1/24.4.1 以降にアップグレードしてください。

参考資料

https://nodejs.org/en/blog/vulnerability/july-2025-security-releases/

プラグインの詳細

深刻度: Critical

ID: 242134

ファイル名: nodejs_2025_jul_15.nasl

バージョン: 1.2

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/7/15

更新日: 2025/7/18

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.1

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2025-27209

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:nodejs:node.js

必要な KB アイテム: installed_sw/Node.js

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/7/15

脆弱性公開日: 2025/7/15

参照情報

CVE: CVE-2025-27209, CVE-2025-27210

IAVB: 2025-B-0120