प्लेटफ़ॉर्म
nodejs
घटक
ip
में ठीक किया गया
2.0.2
CVE-2025-59437 एक सर्वर-साइड रिक्वेस्ट फोर्जिंग (SSRF) भेद्यता है जो Node.js के लिए ip पैकेज (node-ip) के संस्करण 0 से 2.0.1 तक को प्रभावित करती है। यह भेद्यता तब उत्पन्न होती है जब पैकेज 0 (शून्य) IP पते को वैश्विक रूप से रूट करने योग्य के रूप में गलत तरीके से वर्गीकृत करता है। इससे हमलावर आंतरिक सेवाओं तक अनधिकृत पहुँच प्राप्त कर सकते हैं। संस्करण 2.0.2 में इस समस्या का समाधान किया गया है।
इस SSRF भेद्यता का उपयोग करके, एक हमलावर आंतरिक सेवाओं तक पहुँच प्राप्त कर सकता है जो आमतौर पर बाहरी नेटवर्क से दुर्गम होती हैं। हमलावर आंतरिक डेटाबेस, प्रबंधन इंटरफेस या अन्य संवेदनशील संसाधनों तक पहुँच प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों में गंभीर हो सकती है जो आंतरिक सेवाओं के साथ संवाद करने के लिए ip पैकेज का उपयोग करते हैं। CVE-2024-29415 के समान, यह भेद्यता आंतरिक नेटवर्क स्कैनिंग और संभावित रूप से डेटा एक्सफ़िल्ट्रेशन की अनुमति दे सकती है। कुछ मामलों में, 0.0.0.0 जैसे IP पतों पर कनेक्शन प्रयासों को त्रुटि संदेशों के साथ अवरुद्ध किया जा सकता है, लेकिन कुछ एप्लिकेशन संस्करणों और ऑपरेटिंग सिस्टम के संयोजन में, ये प्रयास 127.0.0.1 (लोकलहोस्ट) पर निर्देशित हो सकते हैं, जिससे आंतरिक सेवाओं तक पहुँच प्राप्त हो सकती है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर LOW है, जो कम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण के बारे में कोई रिपोर्ट नहीं है। NVD और CISA ने इस CVE के लिए विशिष्ट तिथियां जारी की हैं।
Applications built on Node.js that utilize the node-ip package, particularly those deployed in shared hosting environments or those that process user-supplied IP addresses without proper validation, are at risk. Legacy applications using older versions of Node.js and the node-ip package are also vulnerable.
• nodejs / server:
npm list ip --depth=0 # Check installed version
grep -r 'ip.isPublic(0)' . # Search for usage of vulnerable function• generic web:
curl -I <application_endpoint_using_ip_package> # Check response headers for unexpected internal IPs
grep '0.0.0.0' /var/log/nginx/access.log # Monitor access logs for connections to 0.0.0.0disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-59437 को कम करने के लिए, ip पैकेज को संस्करण 2.0.2 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके 0.0.0.0 जैसे आंतरिक IP पतों पर कनेक्शन प्रयासों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, एप्लिकेशन कोड की समीक्षा करके यह सुनिश्चित किया जा सकता है कि यह आंतरिक IP पतों के साथ कनेक्शन को मान्य करता है और केवल विश्वसनीय स्रोतों से कनेक्शन की अनुमति देता है। अपग्रेड के बाद, यह सत्यापित करें कि आंतरिक सेवाओं तक अनधिकृत पहुँच को रोकने के लिए कनेक्शन फ़िल्टरिंग ठीक से काम कर रही है।
SSRF भेद्यता को ठीक करने के लिए 'ip' पैकेज को 2.0.1 से बाद के संस्करण में अपडेट करें, यदि उपलब्ध हो। यह IP एड्रेस 0 को गलत तरीके से सार्वजनिक एड्रेस के रूप में माने जाने से रोकेगा। सुधार के बारे में अधिक जानकारी के लिए पैकेज के रिलीज़ नोट्स या चेंज लॉग देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59437 ip Node.js पैकेज के संस्करण 0–2.0.1 में एक SSRF भेद्यता है, जो आंतरिक सेवाओं तक अनधिकृत पहुँच की अनुमति दे सकती है।
यदि आप ip Node.js पैकेज के संस्करण 0 से 2.0.1 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ip पैकेज को संस्करण 2.0.2 या उच्चतर में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो WAF का उपयोग करके आंतरिक IP पतों पर कनेक्शन को ब्लॉक करें।
सक्रिय शोषण के बारे में कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
आधिकारिक सलाहकार के लिए npm वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।