平台
nodejs
组件
ip
修复版本
2.0.2
CVE-2025-59437 描述了 Node.js 的 ip 包 (node-ip) 在版本 0 到 2.0.1 之间存在的服务器端请求伪造 (SSRF) 漏洞。由于 IP 地址 0 被错误地分类为可全局路由,攻击者可能利用此漏洞访问内部网络资源。受影响的版本包括 0 到 2.0.1,建议立即升级到 2.0.2 版本以解决此安全问题。
此 SSRF 漏洞允许攻击者通过 ip 包发起请求,目标可以是内部网络服务或资源,这些服务或资源通常对外部网络不可见。攻击者可以利用此漏洞扫描内部网络,获取敏感信息,甚至可能执行进一步的攻击。虽然某些应用程序在连接到 IP 地址 0 (0.0.0.0) 时会返回错误,但在特定版本和操作系统组合下,这些连接尝试可能被解释为连接到 127.0.0.1,从而绕过安全措施。这种绕过可能导致攻击者访问数据库、管理控制面板或其他关键系统。
该漏洞已公开披露,并被记录在 NVD 数据库中。目前尚无公开的利用程序 (PoC),但由于 SSRF 漏洞的普遍性,存在被利用的风险。该漏洞被认为是低概率的,但潜在影响较大。请密切关注安全社区的动态,以获取最新的利用信息和缓解措施。
Applications built on Node.js that utilize the node-ip package, particularly those deployed in shared hosting environments or those that process user-supplied IP addresses without proper validation, are at risk. Legacy applications using older versions of Node.js and the node-ip package are also vulnerable.
• nodejs / server:
npm list ip --depth=0 # Check installed version
grep -r 'ip.isPublic(0)' . # Search for usage of vulnerable function• generic web:
curl -I <application_endpoint_using_ip_package> # Check response headers for unexpected internal IPs
grep '0.0.0.0' /var/log/nginx/access.log # Monitor access logs for connections to 0.0.0.0disclosure
patch
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
解决 CVE-2025-59437 的主要方法是升级 ip 包到 2.0.2 或更高版本。如果无法立即升级,可以考虑使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤对 IP 地址 0 的请求。此外,审查应用程序代码,确保对 IP 地址进行适当的验证和过滤,以防止 SSRF 攻击。在升级后,请验证新版本是否正确修复了漏洞,例如通过尝试连接到内部服务并确认连接是否被阻止。
将 'ip' 包更新到 2.0.1 之后的版本,如果存在,以修复 SSRF 漏洞。这将防止 IP 地址 0 被错误地视为公共地址。请参阅包的版本说明或变更日志以获取有关修复的更多详细信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59437 是 Node.js 的 ip 包 (版本 0–2.0.1) 中的服务器端请求伪造 (SSRF) 漏洞,攻击者可能利用 IP 地址 0 被错误地识别为可全局路由。
如果您正在使用 ip 包的版本 0 到 2.0.1,则可能受到影响。请立即升级到 2.0.2 或更高版本。
升级 ip 包到 2.0.2 或更高版本是修复此漏洞的主要方法。同时,考虑使用 WAF 或代理服务器进行额外的保护。
目前尚无公开的利用程序,但由于 SSRF 漏洞的普遍性,存在被利用的风险。
请访问 npm 官方网站或查看相关的安全公告,以获取官方的告警信息。
CVSS 向量