プラットフォーム
nodejs
コンポーネント
sha.js
修正版
2.4.12
2.4.12
CVE-2025-9288 represents a critical vulnerability discovered in the sha.js library, a JavaScript implementation of SHA-1, SHA-256, SHA-3, and SHA-512 hashing algorithms. This flaw stems from inadequate input type validation, allowing attackers to inject malicious payloads that can manipulate the hash state. Affected versions of Node.js utilizing sha.js are susceptible, and a fix is available in version 2.4.12.
CVE-2025-9288 は、sha.js における入力型チェックの欠如が原因です。これにより、適切にフォーマットされた Buffer または string 以外の型が渡される可能性があり、無効な値、ハング、ハッシュ状態の巻き戻し(タグ付けされたハッシュをタグ付けされていないハッシュに変換するなど)、またはその他の予測不能な動作につながる可能性があります。この欠陥は、攻撃者が SHA ハッシュ関数のセキュリティに依存するアプリケーション、特にハッシュプロセスを操作することで、データ整合性を損なうために悪用される可能性があります。この脆弱性の重大度は、CVSS スケールで 9.1 と評価されており、高いリスクを示しています。このリスクを軽減するために、バージョン 2.4.12 以降にアップグレードすることを強くお勧めします。
攻撃者は、sha.js ハッシュ関数に悪意のある入力を渡すことで、この脆弱性を悪用する可能性があります。この入力は、無効なデータ構造または予期しないデータ型である可能性があります。内部ハッシュ状態を操作することで、攻撃者はハッシュ結果を潜在的に変更し、デジタル署名検証や安全なパスワードストレージなど、ハッシュ整合性に依存するアプリケーションに深刻な結果をもたらす可能性があります。成功した悪用により、攻撃者はデータを偽造したり、セキュリティコントロールをバイパスしたり、情報の機密性を損なう可能性があります。
Applications relying on sha.js for cryptographic hashing, particularly those handling untrusted input, are at significant risk. This includes web applications, backend services, and any Node.js projects utilizing sha.js directly or as a dependency. Projects that have not implemented robust input validation practices are particularly vulnerable.
• nodejs / server:
ps aux | grep sha.js• nodejs / supply-chain:
npm ls sha.js• nodejs / server:
npm audit sha.js• nodejs / server:
find / -name 'sha.js' -type fdisclosure
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
CVE-2025-9288 の主な軽減策は、sha.js をバージョン 2.4.12 以降にアップグレードすることです。このバージョンには、入力型を適切に検証し、予測不能な動作を防ぐために必要な修正が含まれています。即時のアップグレードが不可能な場合は、sha.js を使用しているコードを確認し、適切にフォーマットされた Buffer または文字列のみが入力として渡されるようにしてください。また、アップグレードが完了するまで、sha.js を使用しているアプリケーションに異常な動作がないか注意深く監視してください。
Actualice la dependencia sha.js a una versión posterior a la 2.4.11. Esto puede hacerse ejecutando `npm update sha.js` o `yarn upgrade sha.js` en su proyecto. Verifique que la versión instalada sea la correcta después de la actualización.
脆弱性分析と重要アラートをメールでお届けします。
sha.js は、SHA (Secure Hash Algorithm) ハッシュ関数を計算するための JavaScript ライブラリです。
このアップデートは、攻撃者がハッシュプロセスを操作し、データ整合性を損なう可能性があるセキュリティ脆弱性を修正します。
すぐにアップデートできない場合は、sha.js に渡される入力が適切にフォーマットされた Buffer または文字列のみであることを確認するために、コードを確認してください。
使用している sha.js のバージョンを確認してください。バージョン 2.4.12 より古い場合は、脆弱です。
この脆弱性に関するより多くの情報は、GitHub セキュリティアドバイザリで入手できます: https://github.com/browserify/cipher-base/security/advisories/GHSA-cpq7-6gpm-g9rc
CVSS ベクトル