Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10620

Опубликовано: 14 мая 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции ThrowException() модели разрешений программной платформы Node.js связана с ошибкой обработки исключительных состояний при обработке метода SignTraits::DeriveBits(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
Node.js Foundation

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Node.js

Версия ПО

7.3 (РЕД ОС)
1.8 (Astra Linux Special Edition)
20 (Node.js)
22 (Node.js)
23 (Node.js)
24 (Node.js)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://nodejs.org/en/blog/vulnerability/may-2025-security-releases
Для ОС Astra Linux:
обновить пакет nodejs до 18.19.0+dfsg-6~deb12u1+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libuv-cve-2025-23165-cve-2025-23166-cve-2025-23167/?sphrase_id=1313867

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00039
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20251006-11

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости libuv

redos логотип

ROS-20251006-10

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости nodejs20

redos логотип

ROS-20251006-09

CVSS3: 7.5
redos
28 дней назад

Множественные уязвимости nodejs

ubuntu логотип

CVE-2025-23166

CVSS3: 7.5
ubuntu
6 месяцев назад

The C++ method SignTraits::DeriveBits() may incorrectly call ThrowException() based on user-supplied inputs when executing in a background thread, crashing the Node.js process. Such cryptographic operations are commonly applied to untrusted inputs. Thus, this mechanism potentially allows an adversary to remotely crash a Node.js runtime.

redhat логотип

CVE-2025-23166

CVSS3: 7.5
redhat
6 месяцев назад

The C++ method SignTraits::DeriveBits() may incorrectly call ThrowException() based on user-supplied inputs when executing in a background thread, crashing the Node.js process. Such cryptographic operations are commonly applied to untrusted inputs. Thus, this mechanism potentially allows an adversary to remotely crash a Node.js runtime.

EPSS

Процентиль: 11%
0.00039
Низкий

7.5 High

CVSS3

7.8 High

CVSS2