Platform
nodejs
Component
nossrf
Opgelost in
1.0.4
1.0.4
CVE-2025-2691 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in het nossrf Node.js package. Deze kwetsbaarheid stelt aanvallers in staat om de SSRF-bescherming te omzeilen door een hostname te leveren dat resolueert naar een lokaal of gereserveerd IP-adres. De kwetsbaarheid treft versies van nossrf vóór 1.0.4. Een update naar versie 1.0.4 of hoger is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanvallers in staat stellen om interne bronnen te bereiken die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne configuratiebestanden, database credentials of andere interne services. Daarnaast kan een aanvaller deze kwetsbaarheid mogelijk gebruiken om interne systemen te scannen en te identificeren welke services draaien, wat kan leiden tot verdere aanvallen. De impact is aanzienlijk, aangezien de aanvaller in potentie toegang kan krijgen tot een breed scala aan interne resources.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via de NVD. Er is geen bevestigde actieve exploitatie gemeld op het moment van schrijven, maar de SSRF-kwetsbaarheid is over het algemeen eenvoudig te exploiteren. De EPSS score is waarschijnlijk medium, gezien de publieke beschikbaarheid van de kwetsbaarheid en de relatieve eenvoud van exploitatie. Er zijn geen bekende KEV-listings op het moment van schrijven.
Applications utilizing the nossrf Node.js package, particularly those deployed in environments with internal services accessible via HTTP or HTTPS, are at risk. Shared hosting environments where users have the ability to install and manage their own Node.js packages are also particularly vulnerable.
• nodejs / server:
npm list nossrfIf the output shows a version less than 1.0.4, the system is vulnerable. • nodejs / server:
npm audit nossrfThis command will identify the vulnerability and suggest an upgrade. • generic web: Review application logs for unusual outbound requests to local or reserved IP addresses. Look for patterns that suggest an attacker is attempting to bypass SSRF protection.
disclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-2691 is het upgraden van het nossrf package naar versie 1.0.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy die SSRF-aanvallen kan detecteren en blokkeren. Configureer de WAF om requests met verdachte hostnamen of IP-adressen te filteren. Controleer ook de configuratie van nossrf om te verzekeren dat de juiste beperkingen zijn ingesteld om interne resources te beschermen. Na de upgrade, verifieer de fix door te proberen een request te sturen naar een lokaal IP-adres en controleer of deze wordt geblokkeerd.
Werk de versie van het pakket nossrf bij naar versie 1.0.4 of hoger. Dit kan worden gedaan door `npm install nossrf@latest` of `yarn upgrade nossrf` in uw project uit te voeren. Zorg ervoor dat u controleert of de update succesvol is uitgevoerd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2691 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in het nossrf Node.js package, waardoor aanvallers de SSRF-bescherming kunnen omzeilen.
U bent getroffen als u een versie van nossrf gebruikt die ouder is dan 1.0.4.
Upgrade het nossrf package naar versie 1.0.4 of hoger. Implementeer indien mogelijk een WAF om SSRF-aanvallen te blokkeren.
Er zijn momenteel geen bevestigde actieve exploits bekend, maar de kwetsbaarheid is openbaar bekend en eenvoudig te exploiteren.
Raadpleeg de NVD-pagina voor CVE-2025-2691: [https://nvd.nist.gov/vuln/detail/CVE-2025-2691](https://nvd.nist.gov/vuln/detail/CVE-2025-2691)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.