Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10618

Опубликовано: 14 мая 2025
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость модели разрешений программной платформы Node.js связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и отправлять несанкционированные запросы

Вендор

ООО «Ред Софт»
Node.js Foundation

Наименование ПО

РЕД ОС
Node.js

Версия ПО

7.3 (РЕД ОС)
20 (Node.js)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://nodejs.org/en/blog/vulnerability/may-2025-security-releases#corrupted-pointer-in-nodefsreadfileutf8const-functioncallbackinfovalue-args-when-args0-is-a-string-cve-2025-23165---low
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libuv-cve-2025-23165-cve-2025-23166-cve-2025-23167/?sphrase_id=1313867

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00011
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251006-11

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости libuv

redos логотип

ROS-20251006-10

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости nodejs20

redos логотип

ROS-20251006-09

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости nodejs

ubuntu логотип

CVE-2025-23167

CVSS3: 6.5
ubuntu
6 месяцев назад

A flaw in Node.js 20's HTTP parser allows improper termination of HTTP/1 headers using `\r\n\rX` instead of the required `\r\n\r\n`. This inconsistency enables request smuggling, allowing attackers to bypass proxy-based access controls and submit unauthorized requests. The issue was resolved by upgrading `llhttp` to version 9, which enforces correct header termination. Impact: * This vulnerability affects only Node.js 20.x users prior to the `llhttp` v9 upgrade.

redhat логотип

CVE-2025-23167

CVSS3: 6.5
redhat
6 месяцев назад

A flaw in Node.js 20's HTTP parser allows improper termination of HTTP/1 headers using `\r\n\rX` instead of the required `\r\n\r\n`. This inconsistency enables request smuggling, allowing attackers to bypass proxy-based access controls and submit unauthorized requests. The issue was resolved by upgrading `llhttp` to version 9, which enforces correct header termination. Impact: * This vulnerability affects only Node.js 20.x users prior to the `llhttp` v9 upgrade.

EPSS

Процентиль: 1%
0.00011
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2