Platform
nodejs
Component
private-ip
Opgelost in
3.0.3
De kwetsbaarheid CVE-2025-8020 betreft een Server-Side Request Forgery (SSRF) in het Node.js package private-ip. Deze kwetsbaarheid stelt aanvallers in staat om verzoeken te sturen naar interne bronnen via de server, wat kan leiden tot ongeautoriseerde toegang tot gevoelige data of systemen. De kwetsbaarheid treft versies van private-ip tot en met 3.0.2. Een patch is beschikbaar in de nieuwste versie (*).
Een succesvolle exploitatie van CVE-2025-8020 kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne services blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Door het versturen van verzoeken naar multicast IP-adressen (224.0.0.0/4), die niet worden gefilterd door de package, kunnen aanvallers mogelijk toegang krijgen tot interne netwerkbronnen en gevoelige data. Dit kan leiden tot data-exfiltratie, configuratie wijzigingen of zelfs de compromittering van de server zelf. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden, waarbij de mogelijkheid bestaat om interne services te scannen en te exploiteren.
De kwetsbaarheid CVE-2025-8020 is openbaar bekend sinds 2025-07-23. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF-aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De EPSS score is momenteel niet bekend, maar gezien de potentiële impact en de openbare bekendmaking, is het belangrijk om deze kwetsbaarheid serieus te nemen.
Applications and services that rely on the private-ip Node.js package for IP address manipulation are at risk. This includes internal tools, APIs, and microservices that process IP addresses as part of their functionality. Specifically, deployments using older versions of Node.js and relying on outdated package versions are particularly vulnerable.
• nodejs / server:
npm list private-ipThis command will list the installed version of the private-ip package. Check if the version is less than or equal to 3.0.2.
• nodejs / server:
grep -r 'private-ip' package.jsonSearch for the package in your project's package.json file to identify dependencies.
• generic web:
Review application logs for unusual outbound requests to multicast IP addresses (224.0.0.0/4).
disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-8020 is het upgraden van het private-ip package naar de nieuwste versie (*), waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om uitgaande verzoeken te filteren en multicast IP-adressen te blokkeren. Controleer ook de configuratie van uw applicatie om te zorgen dat er geen onnodige toegang tot interne bronnen mogelijk is. Na de upgrade, verifieer de correcte werking van uw applicatie en controleer de logs op verdachte activiteiten.
Werk het private-ip pakket bij naar de laatste beschikbare versie. Dit zal de SSRF-kwetsbaarheid oplossen door de multicast-adressen toe te voegen aan de lijst met private IP-bereiken. Voer `npm install private-ip@latest` of `yarn upgrade private-ip@latest` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-8020 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in het Node.js private-ip package, waardoor aanvallers mogelijk ongeautoriseerde toegang tot interne bronnen kunnen krijgen.
Ja, als u een versie van private-ip gebruikt die kleiner of gelijk is aan 3.0.2, dan bent u getroffen door deze kwetsbaarheid.
Upgrade het private-ip package naar de nieuwste versie (*). Indien een upgrade niet direct mogelijk is, implementeer dan een WAF of proxy om uitgaande verzoeken te filteren.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de SSRF-aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen.
Raadpleeg de GitHub repository van private-ip voor de officiële advisory en release notes: [https://github.com/private-ip/private-ip](https://github.com/private-ip/private-ip)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.