प्लेटफ़ॉर्म
nodejs
घटक
pbkdf2
में ठीक किया गया
1.0.1
3.1.3
CVE-2025-6547 Node.js के pbkdf2 घटक में एक गंभीर सुरक्षा भेद्यता है। इस भेद्यता के कारण, Node.js 0.12 से 3.0.0 से पहले के संस्करणों में Uint8Array इनपुट को चुपचाप अनदेखा कर दिया जाता है, जिससे संभावित सुरक्षा जोखिम उत्पन्न हो सकते हैं। यह भेद्यता Node.js के पुराने संस्करणों को प्रभावित करती है, लेकिन संस्करण 3.1.3 में इसका समाधान किया गया है।
CVE-2025-6547 Node.js के पुराने (0.12 - 2.x) लेकिन अभी भी समर्थित संस्करणों को प्रभावित करता है pbkdf2 लाइब्रेरी के भीतर। विशेष रूप से, pbkdf2 फ़ंक्शन चुपचाप Uint8Array इनपुट को अनदेखा करता है। हालांकि लाइब्रेरी का दावा है कि यह Node.js संस्करण 0.12 से समर्थन करती है, यह अप्रत्याशित व्यवहार पासवर्ड और अन्य संवेदनशील डेटा की सुरक्षा से समझौता कर सकता है। CVSS को 9.5 का स्कोर दिया गया है, जो एक गंभीर जोखिम दर्शाता है। इसका मतलब है कि एक हमलावर इनपुट सत्यापन को छोड़ देने के कारण कमजोर या अनुमानित पासवर्ड से कुंजी प्राप्त कर सकता है और बिना पता लगे। उचित इनपुट सत्यापन की कमी इनपुट हेरफेर की अनुमति देती है, जिससे गलत कुंजी पीढ़ी या जानकारी का खुलासा हो सकता है। इस जोखिम को कम करने के लिए पैच किए गए संस्करण में अपग्रेड करना महत्वपूर्ण है।
यदि किसी हमलावर के पास कमजोर Node.js संस्करणों में pbkdf2 फ़ंक्शन को दिए गए इनपुट पर नियंत्रण है, तो वे इस भेद्यता का फायदा उठा सकते हैं। यह वेब एप्लिकेशन में हो सकता है जो उपयोगकर्ता पासवर्ड स्वीकार करते हैं या सिस्टम जो सुरक्षित रूप से कुंजी संग्रहीत करने के लिए pbkdf2 का उपयोग करते हैं। हमला चुपचाप होगा, क्योंकि लाइब्रेरी Uint8Array इनपुट को अनदेखा करते समय कोई त्रुटि या चेतावनी उत्पन्न नहीं करेगी। यह हमलावर को बिना पता लगे व्युत्पन्न कुंजी में हेरफेर करने की अनुमति देगा। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि पुराने Node.js संस्करण अभी भी कई प्रणालियों में उपयोग किए जाते हैं, जिससे वे आकर्षक लक्ष्य बन जाते हैं। उचित इनपुट सत्यापन की कमी सुरक्षा कमजोरियों का एक सामान्य कारण है, और यह मामला कोई अपवाद नहीं है।
Applications and services relying on Node.js versions 0.12 through 2.x are at significant risk. This includes legacy applications, systems with outdated dependencies, and environments where Node.js has not been regularly updated. Shared hosting environments using older Node.js versions are particularly vulnerable.
• nodejs / server:
node -v | grep -q '0.12\.\|1\.\|2\.' && echo "Potentially vulnerable Node.js version detected!" || echo "Node.js version is safe."• nodejs / server:
npm list pbkdf2 | grep -q '>=3.1.3' || echo "pbkdf2 version is potentially vulnerable!"• nodejs / server:
find /usr/local/lib/node_modules /opt/node/lib/node_modules -name "pbkdf2" -type d -print0 | xargs -0 grep -l 'toBuffer' disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
अनुशंसित समाधान Node.js संस्करण 3.1.3 या उच्चतर में अपग्रेड करना है। यह संस्करण Uint8Array इनपुट को ठीक से संभालने से भेद्यता को ठीक करता है। यदि Node.js को तुरंत अपग्रेड करना संभव नहीं है, तो अधिक मजबूत इनपुट सत्यापन को लागू करने वाले वैकल्पिक लाइब्रेरी के साथ pbkdf2 लाइब्रेरी को बदलने पर विचार करें। इसके अतिरिक्त, pbkdf2 का उपयोग करने वाले कोड की समीक्षा करें ताकि यह सुनिश्चित हो सके कि Uint8Array डेटा को अनजाने में पासवर्ड के रूप में पारित नहीं किया जा रहा है। एप्लिकेशन कोड में अतिरिक्त सत्यापन को लागू करना जो सुनिश्चित करता है कि पासवर्ड को स्ट्रिंग या बफ़र के रूप में पारित किया जाता है, एक अतिरिक्त सुरक्षा परत प्रदान कर सकता है। pbkdf2 से संबंधित एप्लिकेशन लॉग में त्रुटियों या असामान्य व्यवहार की निगरानी करने से संभावित शोषण प्रयासों का पता लगाने में भी मदद मिल सकती है।
Actualice la dependencia pbkdf2 a una versión posterior a 3.1.2. Esto solucionará la vulnerabilidad de validación de entrada incorrecta. Consulte el advisory GHSA-v62p-rq8g-8h59 para obtener más detalles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
नहीं, यह केवल 0.12 से 2.x संस्करणों को प्रभावित करती है।
यह एक Node.js लाइब्रेरी है जिसका उपयोग पासवर्ड से सुरक्षित रूप से कुंजी प्राप्त करने के लिए किया जाता है।
जांचें कि आप Node.js का कौन सा संस्करण उपयोग कर रहे हैं। यदि यह 3.1.3 से कम है, तो यह कमजोर है।
pbkdf2 को एक विकल्प से बदलें या अपने कोड में अतिरिक्त सत्यापन लागू करें।
यह एक गंभीर जोखिम का संकेत देता है, जिसका अर्थ है कि भेद्यता का आसानी से फायदा उठाया जा सकता है और इसके महत्वपूर्ण प्रभाव पड़ सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।