Plataforma
nodejs
Componente
private-ip
Corrigido em
3.0.3
A vulnerabilidade CVE-2025-8020 afeta o pacote private-ip para Node.js, permitindo ataques de Server-Side Request Forgery (SSRF). Um atacante pode manipular o pacote para aceitar endereços IP multicast (224.0.0.0/4), que não são devidamente filtrados como IPs privados, possibilitando o acesso a recursos internos. A vulnerabilidade afeta versões do pacote private-ip menores ou iguais a 3.0.2. A correção está disponível na versão mais recente do pacote.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante realize requisições para recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir acesso a serviços de monitoramento, bancos de dados internos ou outros sistemas que expõem informações sensíveis. O uso de endereços multicast pode permitir a exploração de protocolos específicos que dependem desses endereços, potencialmente levando a uma escalada de privilégios ou a um comprometimento maior do sistema. A falta de validação adequada dos endereços IP abre uma brecha significativa para ataques internos.
A vulnerabilidade foi divulgada em 23 de julho de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um SSRF, mesmo que em um pacote menor, deve ser tratada com seriedade devido ao potencial de acesso a recursos sensíveis.
Applications and services that rely on the private-ip Node.js package for IP address manipulation are at risk. This includes internal tools, APIs, and microservices that process IP addresses as part of their functionality. Specifically, deployments using older versions of Node.js and relying on outdated package versions are particularly vulnerable.
• nodejs / server:
npm list private-ipThis command will list the installed version of the private-ip package. Check if the version is less than or equal to 3.0.2.
• nodejs / server:
grep -r 'private-ip' package.jsonSearch for the package in your project's package.json file to identify dependencies.
• generic web:
Review application logs for unusual outbound requests to multicast IP addresses (224.0.0.0/4).
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-8020 é atualizar o pacote private-ip para a versão mais recente. Se a atualização imediata não for possível devido a incompatibilidades, considere implementar regras de firewall para restringir o acesso à rede interna a partir da aplicação Node.js. Além disso, implemente validação de entrada robusta para garantir que apenas endereços IP válidos e seguros sejam aceitos. Monitore logs de acesso e erros em busca de requisições suspeitas para endereços multicast.
Atualize o pacote private-ip para a última versão disponível. Isso corrigirá a vulnerabilidade SSRF ao incluir os endereços multicast na lista de intervalos de IP privados. Execute `npm install private-ip@latest` ou `yarn upgrade private-ip@latest` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-8020 é uma vulnerabilidade SSRF no pacote private-ip para Node.js, permitindo que atacantes usem endereços multicast para acessar recursos internos.
Sim, se sua aplicação Node.js usa o pacote private-ip em uma versão menor ou igual a 3.0.2, você está afetado.
Atualize o pacote private-ip para a versão mais recente. Se a atualização não for possível, implemente regras de firewall e validação de entrada.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade deve ser tratada com seriedade.
Consulte o repositório do pacote private-ip no npmjs.com ou procure por avisos de segurança relacionados ao pacote.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.