Plateforme
nodejs
Composant
private-ip
Corrigé dans
3.0.3
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans le package Node.js private-ip. Cette faille permet à un attaquant de manipuler le package pour qu'il effectue des requêtes vers des ressources non autorisées, potentiellement en utilisant des adresses IP multicast non filtrées. Les versions du package private-ip inférieures ou égales à 3.0.2 sont affectées. Une correction a été déployée et il est recommandé de mettre à jour vers la dernière version.
L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur du réseau. En fournissant une adresse IP ou un nom d'hôte qui résout vers une adresse IP multicast (224.0.0.0/4), l'attaquant peut contourner les mécanismes de filtrage intégrés au package private-ip. Cela pourrait conduire à la divulgation d'informations sensibles, à la manipulation de services internes ou à d'autres actions malveillantes. Bien qu'il n'y ait pas d'exemples publics d'exploitation directe de cette vulnérabilité, les SSRF sont souvent utilisés comme point de départ pour des attaques plus complexes, telles que la découverte d'informations d'identification ou l'accès à des bases de données.
Cette vulnérabilité a été rendue publique le 2025-07-23. Elle n'est pas répertoriée sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Il n'existe pas de preuve d'exploitation active à grande échelle, mais la nature des vulnérabilités SSRF les rend potentiellement dangereuses. La probabilité d'exploitation est considérée comme moyenne en raison de la facilité relative d'exploitation et de la présence d'adresses IP multicast non filtrées.
Applications and services that rely on the private-ip Node.js package for IP address manipulation are at risk. This includes internal tools, APIs, and microservices that process IP addresses as part of their functionality. Specifically, deployments using older versions of Node.js and relying on outdated package versions are particularly vulnerable.
• nodejs / server:
npm list private-ipThis command will list the installed version of the private-ip package. Check if the version is less than or equal to 3.0.2.
• nodejs / server:
grep -r 'private-ip' package.jsonSearch for the package in your project's package.json file to identify dependencies.
• generic web:
Review application logs for unusual outbound requests to multicast IP addresses (224.0.0.0/4).
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le package private-ip vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de renforcer les contrôles d'accès réseau pour limiter les requêtes sortantes autorisées depuis l'application Node.js. L'utilisation d'un proxy inverse ou d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malveillantes. Vérifiez après la mise à jour que le package est correctement mis à jour en exécutant npm list private-ip et en confirmant la version.
Mettez à jour le paquet private-ip à la dernière version disponible. Cela corrigera la vulnérabilité SSRF en incluant les adresses multicast dans la liste des plages d'IP privées. Exécutez `npm install private-ip@latest` ou `yarn upgrade private-ip@latest` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-8020 est une vulnérabilité SSRF dans le package Node.js private-ip qui permet à un attaquant d'effectuer des requêtes non autorisées.
Vous êtes affecté si vous utilisez une version du package private-ip inférieure ou égale à 3.0.2.
Mettez à jour le package private-ip vers la dernière version disponible via npm.
Il n'y a pas de preuve d'exploitation active à grande échelle à ce jour, mais la vulnérabilité est potentiellement dangereuse.
Consultez le dépôt GitHub du package private-ip pour les informations et les mises à jour officielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.