प्लेटफ़ॉर्म
nodejs
घटक
sha.js
में ठीक किया गया
2.4.12
2.4.12
CVE-2025-9288 sha.js नामक एक JavaScript लाइब्रेरी में पाई गई एक गंभीर भेद्यता है। यह भेद्यता इनपुट टाइप जाँच की कमी के कारण होती है, जिससे हमलावर हैश स्टेट को प्रभावित कर सकते हैं और अनिश्चित व्यवहार का कारण बन सकते हैं। यह भेद्यता sha.js के पुराने संस्करणों को प्रभावित करती है, और संस्करण 2.4.12 में इसका समाधान किया गया है।
CVE-2025-9288 sha.js में इनपुट प्रकार जाँच की कमी के कारण है। यह अच्छी तरह से स्वरूपित Buffer या string के अलावा अन्य प्रकारों को पारित करने की अनुमति देता है, जिससे अमान्य मान, लटकना और हैश स्थिति का रोलबैक (एक टैग किए गए हैश को एक टैग न किए गए हैश में बदलना, आदि) या अन्य सामान्य रूप से अप्रत्याशित व्यवहार हो सकता है। इस दोष का उपयोग हमलावरों द्वारा हैश प्रक्रिया में हेरफेर करके डेटा अखंडता से समझौता करने के लिए किया जा सकता है, खासकर SHA हैश फ़ंक्शंस की सुरक्षा पर निर्भर अनुप्रयोगों में। इस भेद्यता की गंभीरता को CVSS पैमाने पर 9.1 के रूप में रेट किया गया है, जो उच्च जोखिम दर्शाता है। इस जोखिम को कम करने के लिए संस्करण 2.4.12 या उच्चतर में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है।
एक हमलावर sha.js हैश फ़ंक्शन को दुर्भावनापूर्ण इनपुट प्रदान करके इस भेद्यता का फायदा उठा सकता है। यह इनपुट एक अमान्य डेटा संरचना या एक अप्रत्याशित डेटा प्रकार हो सकता है। आंतरिक हैश स्थिति में हेरफेर करके, हमलावर संभावित रूप से हैश परिणाम को बदल सकता है, जिससे डिजिटल हस्ताक्षर सत्यापन या सुरक्षित पासवर्ड स्टोरेज जैसे हैश अखंडता पर निर्भर अनुप्रयोगों में गंभीर परिणाम हो सकते हैं। सफल शोषण एक हमलावर को डेटा को जालसाजी करने, सुरक्षा नियंत्रणों को बायपास करने या सूचना की गोपनीयता से समझौता करने की अनुमति दे सकता है।
Applications relying on sha.js for cryptographic hashing, particularly those handling untrusted input, are at significant risk. This includes web applications, backend services, and any Node.js projects utilizing sha.js directly or as a dependency. Projects that have not implemented robust input validation practices are particularly vulnerable.
• nodejs / server:
ps aux | grep sha.js• nodejs / supply-chain:
npm ls sha.js• nodejs / server:
npm audit sha.js• nodejs / server:
find / -name 'sha.js' -type fdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-9288 के लिए प्राथमिक शमन sha.js को संस्करण 2.4.12 या उच्चतर में अपग्रेड करना है। इस संस्करण में आवश्यक फिक्स शामिल हैं ताकि इनपुट प्रकारों को सही ढंग से सत्यापित किया जा सके और अप्रत्याशित व्यवहार को रोका जा सके। यदि तत्काल अपग्रेड संभव नहीं है, तो sha.js का उपयोग करने वाले कोड की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि केवल अच्छी तरह से स्वरूपित Buffer या स्ट्रिंग को इनपुट के रूप में पारित किया जाए। इसके अतिरिक्त, अपग्रेड पूरा होने तक sha.js का उपयोग करने वाले अनुप्रयोगों में किसी भी असामान्य व्यवहार की बारीकी से निगरानी करें।
Actualice la dependencia sha.js a una versión posterior a la 2.4.11. Esto puede hacerse ejecutando `npm update sha.js` o `yarn upgrade sha.js` en su proyecto. Verifique que la versión instalada sea la correcta después de la actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
sha.js SHA (सुरक्षित हैश एल्गोरिथ्म) हैश फ़ंक्शन की गणना के लिए एक JavaScript लाइब्रेरी है।
यह अपडेट एक सुरक्षा भेद्यता को ठीक करता है जो हमलावरों को हैश प्रक्रिया में हेरफेर करने और डेटा अखंडता से समझौता करने की अनुमति दे सकता है।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो अपने कोड की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि sha.js को केवल अच्छी तरह से स्वरूपित Buffer या स्ट्रिंग को इनपुट के रूप में पारित किया जाए।
जांचें कि आप sha.js का कौन सा संस्करण उपयोग कर रहे हैं। यदि यह संस्करण 2.4.12 से पुराना है, तो आप कमजोर हैं।
आप GitHub सुरक्षा सलाहकार में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं: https://github.com/browserify/cipher-base/security/advisories/GHSA-cpq7-6gpm-g9rc
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।