「Node.js」にアップデート - 複数の脆弱性に対応
「Node.js」の開発チームは現地時間2025年7月15日、脆弱性を修正するセキュリティアップデートをリリースした。
同日アドバイザリを公開し、バージョンによって影響は異なるが、2件の脆弱性について明らかにしたもの。
具体的には、「CON」「PRN」「AUX」などのWindowsにおける予約済みデバイス名を悪用し、Windows環境の一部APIで「パストラバーサル対策」をバイパスできる「CVE-2025-27210」が確認された。以前修正した「CVE-2025-23084」への対応が不完全だったことに起因する脆弱性だという。
一方「CVE-2025-27209」は、「同24」ブランチに搭載されたスクリプトエンジン「V8」に起因する「HashDoS」の脆弱性。ハッシュのシードを知らない場合もハッシュ衝突を引き起こし、サービス拒否を生じさせることが可能となる。
「V8」の開発チームでは、セキュリティの問題として扱われていないが、「Node.js」では現実的な攻撃シナリオのリスクを踏まえ、脆弱性として対応したとしている。
開発チームでは、いずれも重要度を4段階中、上から2番目にあたる「高(High)」とレーティング。脆弱性を解消した「同24.4.1」「同22.17.1」「同20.19.4」をリリースした。
(Security NEXT - 2025/07/16 )
ツイート
関連リンク
PR
関連記事
NVIDIAのLLMフレームワーク「NeMo Framework」などに脆弱性 - 修正版を提供
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Elasticsearch」「Enterprise Search」に脆弱性 - アップデートを強く推奨
Salesforce「Tableau」に深刻な脆弱性 - 7月の更新で対応
IT資産管理ツール「SS1」に複数の深刻な脆弱性 - アップデートを
2017年以前の一部「FeliCa」ICチップに脆弱性 - 外部指摘で判明
「Acronis Cyber Protect Cloud Agent」脆弱性 - Windows版に影響
Dell製シンクライアントOSに多数脆弱性 - 「クリティカル」も
「Movable Type」のPWリセット機能に複数脆弱性 - 修正版公開
「i-フィルター」に脆弱性 - 未使用やプリインストールも影響