CVE-2025-23083: Node.js Vulnerability Exposes Sensitive Data and Resources
2025/01/21 SecurityOnline — Node.js プロジェクトがリリースしたのは、攻撃者に対してワーカー権限のバイパスを許す可能性の、深刻度の高い欠陥などの、いくつかのセキュリティ脆弱性に対処するアップデートである。
問題とされる脆弱性 CVE-2025-23083 は、Node.js バージョン 20/22/23 に影響を及ぼすものだ。この脆弱性は、diagnostics_channel ユーティリティに存在するものであり、ワーカー・スレッド作成などのイベントへのフックで悪用が可能だという。そして、この脆弱性が悪用されると、機密データやリソースへの不正アクセスの可能性が生じるとされる。
このワーカー権限バイパスの脆弱性に加えて、今回のアップデートでは、2件の Meduim レベルの欠陥も修正されている。
CVE-2025-23084:Windows 環境でのドライブ名を介した、パス・トラバーサルの脆弱性。この脆弱性の悪用に成功した攻撃者は、対象ディレクトリを拡大し、それらに含まれるファイルへのアクセスを可能にする。
CVE-2025-23085:HTTP/2 サーバのメモリ・リークの問題。この脆弱性の悪用に成功した攻撃者は、サービス拒否 (DoS) 状態を引き起こす可能性を手にする。
今回のアップデートでは、サポート終了となった Node.js バージョンの脆弱性も対象としている:
- CVE-2025-23087: Node.js v17.x 以前
- CVE-2025-23088: Node.js v19.x
- CVE-2025-23089: Node.js v21.x
このアップデートは、Node.js 23.x/22.x/20.x に加えて、18.x に対してもリリースされている。ユーザーに対して強く推奨されるのは、可能な限り早急に Node.js インストールを更新し、これらの脆弱性の影響を軽減することだ。
Node.js の3件の脆弱性が FIX しました。放置すると、機密データやリソースへの不正アクセスが生じる恐れがあるとのことです。ご利用のチームは、ご注意ください。最近の Node.js 関連の記事としては、2025/01/09 の「Node.js の新たな試みによるセキュリティの強化:EoL バージョンに対する CVE の発行」が、とても興味深い内容でした。よろしければ、Node.js で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.