Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10188

Опубликовано: 21 авг. 2025
Источник: fstec
CVSS3: 9
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость пакета cipher-base программной платформы Node.js связана с недостатками механизма проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного JSON-файла

Вендор

Node.js Foundation
Сообщество свободного программного обеспечения

Наименование ПО

Node.js
cipher-base

Версия ПО

- (Node.js)
до 1.0.4 (cipher-base)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).
Источники информации:
https://github.com/browserify/cipher-base/pull/23

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 32%
0.00119
Низкий

9 Critical

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-9287

CVSS3: 9.1
ubuntu
28 дней назад

Improper Input Validation vulnerability in cipher-base allows Input Data Manipulation.This issue affects cipher-base: through 1.0.4.

redhat логотип

CVE-2025-9287

CVSS3: 7.5
redhat
28 дней назад

Improper Input Validation vulnerability in cipher-base allows Input Data Manipulation.This issue affects cipher-base: through 1.0.4.

nvd логотип

CVE-2025-9287

CVSS3: 9.1
nvd
28 дней назад

Improper Input Validation vulnerability in cipher-base allows Input Data Manipulation.This issue affects cipher-base: through 1.0.4.

debian логотип

CVE-2025-9287

CVSS3: 9.1
debian
28 дней назад

Improper Input Validation vulnerability in cipher-base allows Input Da ...

github логотип

GHSA-cpq7-6gpm-g9rc

CVSS3: 9.1
github
27 дней назад

cipher-base is missing type checks, leading to hash rewind and passing on crafted data

EPSS

Процентиль: 32%
0.00119
Низкий

9 Critical

CVSS3

7.6 High

CVSS2