मुफ्त स्कैन करें
LOWCVE-2025-59436CVSS 3.2

ip (aka node-ip) पैकेज 2.0.1 के माध्यम से, SSRF की अनुमति दे सकता है क्योंकि IP एड्रेस वैल्यू 017700000001 को isPublic के माध्यम से गलत तरीके से वैश्विक रूप से रूट करने योग्य के रूप में वर्गीकृत किया गया है। NOTE: यह मुद्दा CVE-2024-29415 के लिए एक अधूरी फिक्स के कारण मौजूद है।

प्लेटफ़ॉर्म

nodejs

घटक

ip

में ठीक किया गया

2.0.2

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2025-59436 एक सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है जो Node.js के लिए ip पैकेज के संस्करण 0 से 2.0.1 तक को प्रभावित करती है। यह भेद्यता तब उत्पन्न होती है जब पैकेज 017700000001 जैसे IP पतों को गलत तरीके से वैश्विक रूप से रूट करने योग्य के रूप में वर्गीकृत करता है। इससे हमलावर आंतरिक सेवाओं तक अनधिकृत पहुँच प्राप्त कर सकते हैं। संस्करण 2.0.2 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

इस SSRF भेद्यता का उपयोग करके, एक हमलावर आंतरिक नेटवर्क संसाधनों तक पहुँच सकता है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं। हमलावर आंतरिक API, डेटाबेस या अन्य संवेदनशील सेवाओं को लक्षित कर सकते हैं। यह जानकारी की गोपनीयता, अखंडता और उपलब्धता से समझौता कर सकता है। यह भेद्यता CVE-2024-29415 के लिए अधूरे सुधार के कारण उत्पन्न हुई है, जो पहले इसी तरह की समस्या को संबोधित करती थी। हमलावर इस भेद्यता का उपयोग आंतरिक सेवाओं को स्कैन करने, संवेदनशील डेटा निकालने या आगे के हमलों को लॉन्च करने के लिए कर सकते हैं।

शोषण संदर्भ

CVE-2025-59436 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं। हालाँकि, सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो इस भेद्यता का फायदा उठाने के लिए हमलावरों को सक्षम करते हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। NVD (National Vulnerability Database) में 2025-09-16 को प्रकाशित किया गया था।

कौन जोखिम में हैअनुवाद हो रहा है…

Applications built with Node.js that utilize the ip package for IP address manipulation are at risk. This includes applications deployed in cloud environments where access to metadata services is a concern, as well as applications that handle user-supplied IP addresses without proper validation.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / supply-chain:

  npm list ip
  npm audit ip

• generic web:

  curl -I http://your-node-app/ip-endpoint  # Check for unexpected outbound requests in response headers
  grep -r '017700000001' /var/log/nginx/access.log # Look for requests containing the problematic IP address in access logs

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रनिम्न
NextGuard100% अभी भी असुरक्षित

EPSS

0.01% (2% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N3.2LOWAttack VectorLocalहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
स्थानीय — हमलावर को सिस्टम पर स्थानीय सत्र या शेल की आवश्यकता है।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकip
विक्रेताfedorindutny
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 2.0.12.0.2

पैकेज जानकारी

अंतिम अपडेट
2.0.127 महीने पहले

कमजोरी वर्गीकरण (CWE)

CWE-918

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2025-59436 के लिए प्राथमिक शमन उपाय ip Node.js पैकेज को संस्करण 2.0.2 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि संदिग्ध अनुरोधों को फ़िल्टर किया जा सके जो SSRF हमलों का प्रयास कर सकते हैं। इसके अतिरिक्त, आप अपने आंतरिक नेटवर्क को सुरक्षित करने के लिए सख्त नेटवर्क विभाजन और एक्सेस नियंत्रण लागू कर सकते हैं। यह सुनिश्चित करें कि आंतरिक सेवाओं को केवल अधिकृत स्रोतों से ही पहुँचा जा सकता है।

कैसे ठीक करें

यदि कोई फिक्स्ड वर्जन उपलब्ध हो तो `ip` पैकेज को 2.0.1 से बाद के वर्जन में अपडेट करें। यह कुछ IP एड्रेस को सार्वजनिक रूप से रूट करने योग्य के रूप में गलत तरीके से वर्गीकृत करने के कारण होने वाले SSRF भेद्यता को कम करता है। सुधार के बारे में अधिक जानकारी के लिए रिलीज नोट्स देखें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-59436 — SSRF ip Node.js पैकेज में क्या है?

CVE-2025-59436 ip Node.js पैकेज में एक सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है जो आंतरिक संसाधनों तक अनधिकृत पहुँच की अनुमति दे सकती है।

CVE-2025-59436 में ip Node.js पैकेज कौन प्रभावित है?

ip Node.js पैकेज के संस्करण 0 से 2.0.1 तक CVE-2025-59436 से प्रभावित हैं।

CVE-2025-59436 में ip Node.js पैकेज को कैसे ठीक करें?

CVE-2025-59436 को ठीक करने के लिए, ip Node.js पैकेज को संस्करण 2.0.2 या बाद के संस्करण में अपग्रेड करें।

CVE-2025-59436 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2025-59436 के सक्रिय शोषण के कोई ज्ञात अभियान नहीं हैं, लेकिन सार्वजनिक रूप से उपलब्ध PoC मौजूद हो सकते हैं।

CVE-2025-59436 के लिए आधिकारिक ip Node.js सलाहकार कहाँ मिल सकता है?

आधिकारिक ip Node.js सलाहकार के लिए, कृपया npm वेबसाइट पर जाएँ: [https://www.npmjs.com/package/ip](https://www.npmjs.com/package/ip)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें