Plateforme
nodejs
Composant
sha.js
Corrigé dans
2.4.12
2.4.12
La vulnérabilité CVE-2025-9288 concerne sha.js, une bibliothèque JavaScript pour le calcul de hachages. Un manque de vérification du type d'entrée permet à des attaquants d'injecter des données non valides, ce qui peut entraîner une manipulation de l'état du hachage, un comportement imprévisible et potentiellement des attaques. Cette vulnérabilité affecte les versions de sha.js antérieures à 2.4.12. Une correction est disponible dans la version 2.4.12.
La vulnérabilité CVE-2025-9288 dans sha.js est due à un manque de vérifications de type d'entrée. Cela permet de passer des types de données autres qu'un Buffer ou une chaîne bien formés, ce qui peut entraîner des valeurs non valides, des blocages et un retour en arrière de l'état du hachage (y compris la conversion d'un hachage étiqueté en un hachage non étiqueté), ou un comportement généralement indéfini. Cette faille peut être exploitée par des attaquants pour compromettre l'intégrité des données en manipulant le processus de hachage, en particulier dans les applications qui dépendent de la sécurité des fonctions de hachage SHA. La gravité de la vulnérabilité est notée 9,1 sur l'échelle CVSS, ce qui indique un risque élevé. Il est fortement recommandé de mettre à niveau vers la version 2.4.12 ou supérieure pour atténuer ce risque.
Un attaquant pourrait exploiter cette vulnérabilité en fournissant une entrée malveillante à la fonction de hachage sha.js. Cette entrée pourrait être une structure de données non valide ou un type de données inattendu. En manipulant l'état interne du hachage, l'attaquant pourrait potentiellement modifier le résultat du hachage, ce qui pourrait avoir de graves conséquences dans les applications qui dépendent de l'intégrité du hachage, telles que la vérification de signatures numériques ou le stockage sécurisé de mots de passe. Une exploitation réussie pourrait permettre à un attaquant de falsifier des données, de contourner des contrôles de sécurité ou de compromettre la confidentialité des informations.
Applications relying on sha.js for cryptographic hashing, particularly those handling untrusted input, are at significant risk. This includes web applications, backend services, and any Node.js projects utilizing sha.js directly or as a dependency. Projects that have not implemented robust input validation practices are particularly vulnerable.
• nodejs / server:
ps aux | grep sha.js• nodejs / supply-chain:
npm ls sha.js• nodejs / server:
npm audit sha.js• nodejs / server:
find / -name 'sha.js' -type fdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2025-9288 consiste à mettre à niveau vers la version 2.4.12 ou supérieure de sha.js. Cette version inclut les correctifs nécessaires pour valider correctement les types d'entrée et empêcher un comportement indéfini. Si une mise à niveau immédiate n'est pas possible, examinez le code qui utilise sha.js pour vous assurer que seuls des Buffer ou des chaînes bien formés sont passés en entrée. Surveillez également de près les applications utilisant sha.js pour tout comportement inhabituel jusqu'à ce que la mise à niveau soit terminée.
Actualice la dependencia sha.js a una versión posterior a la 2.4.11. Esto puede hacerse ejecutando `npm update sha.js` o `yarn upgrade sha.js` en su proyecto. Verifique que la versión instalada sea la correcta después de la actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
sha.js est une bibliothèque JavaScript pour calculer les fonctions de hachage SHA (Secure Hash Algorithm).
Cette mise à jour corrige une vulnérabilité de sécurité qui pourrait permettre aux attaquants de manipuler le processus de hachage et de compromettre l'intégrité des données.
Si vous ne pouvez pas mettre à jour immédiatement, examinez votre code pour vous assurer que seuls des Buffer ou des chaînes bien formés sont passés en entrée à sha.js.
Vérifiez la version de sha.js que vous utilisez. Si elle est antérieure à la version 2.4.12, vous êtes vulnérable.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans l'avis de sécurité GitHub : https://github.com/browserify/cipher-base/security/advisories/GHSA-cpq7-6gpm-g9rc
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.