Plataforma
nodejs
Componente
sha.js
Corrigido em
2.4.12
2.4.12
A vulnerabilidade CVE-2025-9288 afeta a biblioteca sha.js, parte do projeto Cipher-Base, devido à falta de validação do tipo de entrada. Essa falha permite que dados inválidos sejam passados para a função de hash, resultando em comportamento indefinido, como o travamento da função ou a manipulação do estado da hash. Versões anteriores a 2.4.12 são vulneráveis, e a atualização para esta versão corrige a falha.
Um atacante pode explorar essa vulnerabilidade fornecendo entradas maliciosas para a função de hash SHA.js. Isso pode levar a uma variedade de consequências, incluindo o travamento da aplicação, a manipulação do estado da hash (transformando hashes marcados em não marcados) e, potencialmente, a comprometimento da integridade dos dados. A ausência de validação do tipo de entrada permite que um atacante injete dados que alterem o fluxo normal da função de hash, abrindo caminho para ataques mais complexos. A exploração bem-sucedida pode comprometer a segurança de sistemas que dependem da integridade das funções de hash SHA.
A vulnerabilidade foi publicada em 21 de agosto de 2025. Existe um Proof of Concept (PoC) público disponível, demonstrando a possibilidade de manipulação do estado da hash. A probabilidade de exploração é considerada alta (EPSS score alto) devido à facilidade de exploração e à disponibilidade do PoC. É recomendável priorizar a correção desta vulnerabilidade.
Applications relying on sha.js for cryptographic hashing, particularly those handling untrusted input, are at significant risk. This includes web applications, backend services, and any Node.js projects utilizing sha.js directly or as a dependency. Projects that have not implemented robust input validation practices are particularly vulnerable.
• nodejs / server:
ps aux | grep sha.js• nodejs / supply-chain:
npm ls sha.js• nodejs / server:
npm audit sha.js• nodejs / server:
find / -name 'sha.js' -type fdisclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-9288 é a atualização para a versão 2.4.12 ou superior da biblioteca sha.js. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as entradas fornecidas à função de hash SHA.js. Implementar regras de firewall de aplicação web (WAF) para detectar e bloquear solicitações com entradas suspeitas também pode ajudar. Monitore logs de aplicação em busca de padrões de comportamento anormais que possam indicar uma tentativa de exploração.
Actualice la dependencia sha.js a una versión posterior a la 2.4.11. Esto puede hacerse ejecutando `npm update sha.js` o `yarn upgrade sha.js` en su proyecto. Verifique que la versión instalada sea la correcta después de la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade crítica na biblioteca sha.js, parte do Cipher-Base, que permite a manipulação do estado da hash devido à falta de validação de tipo de entrada.
Se você estiver usando uma versão do sha.js anterior a 2.4.12, você é vulnerável. Verifique a versão em uso em seus projetos.
Atualize imediatamente para a versão 2.4.12 ou superior da biblioteca sha.js. Se a atualização não for possível, implemente validação de entrada.
Embora não haja relatos de exploração ativa em larga escala, um PoC público está disponível, indicando um risco elevado.
Consulte o aviso de segurança no GitHub: https://github.com/browserify/cipher-base/security/advisories/GHSA-cpq7-6gpm-g9rc e o NVD: https://nvd.nist.gov/.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.