O pacote ip (também conhecido como node-ip) até a versão 2.0.1 (no NPM) pode permitir SSRF porque o valor do endereço IP 0 é categorizado incorretamente como roteável globalmente via isPublic. OBS: este problema existe devido a uma correção incompleta para CVE-2024-29415. OBS: nas versões atuais de vários aplicativos, as tentativas de conexão para o endereço IP 0 (interpretado como 0.0.0.0) são bloqueadas com mensagens de erro como net::ERR_ADDRESS_INVALID. No entanto, em algumas situações que dependem tanto da versão do aplicativo quanto do sistema operacional, as tentativas de conexão para 0 e 0.0.0.0 são consideradas tentativas de conexão para 127.0.0.1 (e, por este motivo, um valor falso de isPublic seria preferível).

Um atacante pode explorar esta vulnerabilidade para realizar requisições a serviços internos que normalmente não são acessíveis externamente. Isso pode incluir acesso a painéis de administração, bancos de dados ou outros sistemas internos. A exploração bem-sucedida pode levar à exfiltração de dados confidenciais, comprometimento do servidor ou até mesmo acesso a outros sistemas na rede interna. A vulnerabilidade é uma consequência de uma correção incompleta para o CVE-2024-29415, onde o endereço IP 0 (0.0.0.0) é erroneamente classificado como um endereço globalmente roteável. Embora algumas aplicações bloqueiem conexões para 0.0.0.0, em certas configurações e sistemas operacionais, essas conexões podem ser redirecionadas para 127.0.0.1.

Applications built on Node.js that utilize the node-ip package, particularly those deployed in shared hosting environments or those that process user-supplied IP addresses without proper validation, are at risk. Legacy applications using older versions of Node.js and the node-ip package are also vulnerable.

• nodejs / server:

  npm list ip --depth=0  # Check installed version
  grep -r 'ip.isPublic(0)' . # Search for usage of vulnerable function

• generic web:

  curl -I <application_endpoint_using_ip_package> # Check response headers for unexpected internal IPs
  grep '0.0.0.0' /var/log/nginx/access.log # Monitor access logs for connections to 0.0.0.0

1. 2025-09-16Disclosure

   disclosure

2. 2025-09-16Patch

   patch

1. Reservado2025-09-16
2. Publicada2025-09-16
3. EPSS atualizado2026-03-23

A mitigação primária para esta vulnerabilidade é atualizar o pacote ip para a versão 2.0.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais. Utilize um Web Application Firewall (WAF) para filtrar requisições suspeitas e bloquear conexões para endereços internos. Configure regras de firewall para restringir o acesso a serviços internos apenas a fontes confiáveis. Monitore logs de acesso e erro em busca de atividades incomuns ou tentativas de requisições a endereços internos. Após a atualização, confirme a correção verificando se as requisições para 0.0.0.0 são devidamente bloqueadas e não são redirecionadas para 127.0.0.1.

Última atualização

2.0.1há 27 meses