プラットフォーム
nodejs
コンポーネント
pbkdf2
修正版
1.0.1
3.1.3
CVE-2025-6547 は、Node.js の pbkdf2 ライブラリにおける脆弱性であり、特定のバージョンの Node.js で Uint8Array 型の入力を適切に処理しない場合に発生します。この脆弱性は、パスワードハッシュの計算に影響を与え、セキュリティ上のリスクをもたらす可能性があります。影響を受けるバージョンは Node.js 0.12 から 2.x (3.0.0 未満) です。バージョン 3.1.3 で修正されました。
CVE-2025-6547 は、Node.js の古いバージョン (0.12 - 2.x) に影響を与えますが、サポートは継続されています。具体的には、pbkdf2 関数は Uint8Array 入力をサイレントに無視します。このライブラリは Node.js バージョン 0.12 以降をサポートすると主張していますが、この予期しない動作はパスワードやその他の機密データのセキュリティを損なう可能性があります。CVSS は 9.5 と評価されており、重大なリスクを示しています。これは、攻撃者が弱いパスワードや予測可能なパスワードからキーを導出する可能性があり、入力検証が省略されているため、検出されない可能性があることを意味します。適切な入力検証の欠如により、入力の操作が可能になり、誤ったキーの生成や情報の漏洩につながる可能性があります。このリスクを軽減するために、パッチが適用されたバージョンにアップグレードすることが重要です。
攻撃者が、脆弱な Node.js バージョンで pbkdf2 関数に渡される入力の制御を持っている場合、この脆弱性を悪用する可能性があります。これは、ユーザーからのパスワードを受け入れる Web アプリケーションや、pbkdf2 を使用してキーを安全に保存するシステムで発生する可能性があります。攻撃はサイレントに行われ、ライブラリが Uint8Array 入力を無視するときにエラーや警告を生成しないためです。これにより、攻撃者は検出されずに派生キーを操作できます。この脆弱性は、古い Node.js バージョンが多くのシステムで依然として使用されているため、特に懸念されます。適切な入力検証の欠如は、セキュリティ脆弱性の一般的な原因であり、このケースも例外ではありません。
Applications and services relying on Node.js versions 0.12 through 2.x are at significant risk. This includes legacy applications, systems with outdated dependencies, and environments where Node.js has not been regularly updated. Shared hosting environments using older Node.js versions are particularly vulnerable.
• nodejs / server:
node -v | grep -q '0.12\.\|1\.\|2\.' && echo "Potentially vulnerable Node.js version detected!" || echo "Node.js version is safe."• nodejs / server:
npm list pbkdf2 | grep -q '>=3.1.3' || echo "pbkdf2 version is potentially vulnerable!"• nodejs / server:
find /usr/local/lib/node_modules /opt/node/lib/node_modules -name "pbkdf2" -type d -print0 | xargs -0 grep -l 'toBuffer' disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
推奨される解決策は、Node.js バージョン 3.1.3 以降にアップグレードすることです。このバージョンは、Uint8Array 入力を適切に処理することで、脆弱性を修正します。Node.js のアップグレードがすぐにできない場合は、より堅牢な入力検証を実装する代替ライブラリで pbkdf2 ライブラリを置き換えることを検討してください。さらに、pbkdf2 を使用するコードを調べて、Uint8Array データが誤ってパスワードとして渡されていないことを確認してください。アプリケーションコードでパスワードが文字列またはバッファとして渡されるように追加の検証を実装すると、追加の保護層を提供できます。pbkdf2 に関連するアプリケーションログのエラーや異常な動作を監視することも、潜在的な悪用試行を検出するのに役立ちます。
Actualice la dependencia pbkdf2 a una versión posterior a 3.1.2. Esto solucionará la vulnerabilidad de validación de entrada incorrecta. Consulte el advisory GHSA-v62p-rq8g-8h59 para obtener más detalles.
脆弱性分析と重要アラートをメールでお届けします。
いいえ、0.12 から 2.x までのバージョンにのみ影響します。
これは、パスワードからキーを安全に派生させるために使用される Node.js ライブラリです。
使用している Node.js のバージョンを確認してください。3.1.3 未満の場合は脆弱です。
pbkdf2 を代替ライブラリに置き換えるか、コードに 追加の検証を実装することを検討してください。
これは、脆弱性が簡単に悪用でき、重大な影響を与える可能性があることを示す、重大なリスクを意味します。