Platform
nodejs
Component
sha.js
Opgelost in
2.4.12
2.4.12
CVE-2025-9288 is een kritieke kwetsbaarheid in de sha.js bibliotheek, die wordt gebruikt in Node.js-omgevingen. Deze kwetsbaarheid ontstaat door een gebrek aan inputvalidatie, waardoor kwaadwillenden in staat zijn om ongeldige data te injecteren. Dit kan leiden tot onvoorspelbaar gedrag, zoals hangen, terugspoelen van de hash-status en andere ongedefinieerde situaties. De kwetsbaarheid is openbaar gemaakt op 21 augustus 2025 en een fix is beschikbaar in versie 2.4.12.
De impact van CVE-2025-9288 is significant. Een aanvaller kan, door kwaadwillige data te injecteren, de hash-functie manipuleren. Dit kan leiden tot het omzeilen van authenticatie- en integriteitscontroles, waardoor de aanvaller mogelijk toegang krijgt tot gevoelige data of systemen kan compromitteren. Het terugspoelen van de hash-status kan de integriteit van data aantasten, waardoor de betrouwbaarheid van de applicatie in gevaar komt. De kwetsbaarheid is vergelijkbaar met scenario's waarin hash-functies worden misbruikt om authenticatietokens te manipuleren, wat kan leiden tot ongeautoriseerde toegang tot resources.
De kwetsbaarheid is openbaar gemaakt en er is een Proof of Concept (PoC) beschikbaar. De EPSS score is nog niet bekend, maar de CVSS score van 9.1 duidt op een hoog risico. Er zijn momenteel geen meldingen van actieve exploitatie, maar de beschikbaarheid van een PoC maakt misbruik waarschijnlijk. De kwetsbaarheid is opgenomen in het CISA KEV catalogus.
Applications relying on sha.js for cryptographic hashing, particularly those handling untrusted input, are at significant risk. This includes web applications, backend services, and any Node.js projects utilizing sha.js directly or as a dependency. Projects that have not implemented robust input validation practices are particularly vulnerable.
• nodejs / server:
ps aux | grep sha.js• nodejs / supply-chain:
npm ls sha.js• nodejs / server:
npm audit sha.js• nodejs / server:
find / -name 'sha.js' -type fdisclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-9288 is het upgraden naar versie 2.4.12 van sha.js. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van inputvalidatie op de data die aan de sha.js functie wordt doorgegeven. Dit kan door te controleren of de input een Buffer of string is, en de lengte ervan te valideren. Een Web Application Firewall (WAF) kan ook worden geconfigureerd om verdachte input te blokkeren. Controleer na de upgrade of de sha.js functie correct functioneert door een reeks bekende hash-waarden te vergelijken met de output van de geüpdatete bibliotheek.
Werk de sha.js afhankelijkheid bij naar een versie later dan 2.4.11. Dit kan worden gedaan door `npm update sha.js` of `yarn upgrade sha.js` in uw project uit te voeren. Controleer of de geïnstalleerde versie correct is na de update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-9288 is a critical vulnerability in sha.js, a JavaScript hashing library, allowing attackers to manipulate hash states due to missing input type checks. It has a CVSS score of 9.1.
You are affected if you are using a version of sha.js prior to 2.4.12 in your Node.js project and handle untrusted input.
Upgrade to sha.js version 2.4.12 or later. If immediate upgrade is not possible, implement strict input validation for data passed to sha.js functions.
While active exploitation is not confirmed, a public proof-of-concept exists, indicating a potential for exploitation.
Refer to the GitHub Security Advisory for GHSA-cpq7-6gpm-g9rc: https://github.com/browserify/cipher-base/security/advisories/GHSA-cpq7-6gpm-g9rc
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.