Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10619

Опубликовано: 14 мая 2025
Источник: fstec
CVSS3: 3.7
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость функции ReadFileUtf8() модели разрешений программной платформы Node.js связана с отсутствием освобождения памяти после эффективного срока службы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
Node.js Foundation

Наименование ПО

РЕД ОС
Node.js

Версия ПО

7.3 (РЕД ОС)
20 (Node.js)
22 (Node.js)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://nodejs.org/en/blog/vulnerability/may-2025-security-releases#corrupted-pointer-in-nodefsreadfileutf8const-functioncallbackinfovalue-args-when-args0-is-a-string-cve-2025-23165---low
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libuv-cve-2025-23165-cve-2025-23166-cve-2025-23167/?sphrase_id=1313867

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.00071
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20251006-11

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости libuv

redos логотип

ROS-20251006-10

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости nodejs20

redos логотип

ROS-20251006-09

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости nodejs

ubuntu логотип

CVE-2025-23165

CVSS3: 3.7
ubuntu
6 месяцев назад

In Node.js, the `ReadFileUtf8` internal binding leaks memory due to a corrupted pointer in `uv_fs_s.file`: a UTF-16 path buffer is allocated but subsequently overwritten when the file descriptor is set. This results in an unrecoverable memory leak on every call. Repeated use can cause unbounded memory growth, leading to a denial of service. Impact: * This vulnerability affects APIs relying on `ReadFileUtf8` on Node.js release lines: v20 and v22.

redhat логотип

CVE-2025-23165

CVSS3: 3.7
redhat
6 месяцев назад

In Node.js, the `ReadFileUtf8` internal binding leaks memory due to a corrupted pointer in `uv_fs_s.file`: a UTF-16 path buffer is allocated but subsequently overwritten when the file descriptor is set. This results in an unrecoverable memory leak on every call. Repeated use can cause unbounded memory growth, leading to a denial of service. Impact: * This vulnerability affects APIs relying on `ReadFileUtf8` on Node.js release lines: v20 and v22.

EPSS

Процентиль: 22%
0.00071
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2