CVE-2025-8020 描述了 Node.js 包 private-ip 中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过提供解析为多播 IP 地址(224.0.0.0/4)的 IP 或主机名,绕过私有 IP 地址范围的限制。受影响的版本包括 3.0.2 及更早版本。已发布补丁,建议立即升级。
该 SSRF 漏洞允许攻击者利用 private-ip 包发起未经授权的请求,访问内部资源或执行恶意操作。攻击者可以利用此漏洞扫描内部网络,尝试访问敏感数据,甚至可能与内部服务交互。由于 private-ip 包通常用于处理 IP 地址,因此该漏洞可能导致严重的敏感信息泄露和潜在的安全风险。攻击者可以利用此漏洞访问内部服务,例如数据库或管理界面,从而进一步扩大攻击范围。
该漏洞已公开披露,且 CVSS 评分为高危。目前尚未发现公开的利用程序 (PoC),但由于 SSRF 漏洞的普遍性,存在被利用的风险。CISA 尚未将其添加到 KEV 目录,但建议密切关注相关安全公告。
Applications and services that rely on the private-ip Node.js package for IP address manipulation are at risk. This includes internal tools, APIs, and microservices that process IP addresses as part of their functionality. Specifically, deployments using older versions of Node.js and relying on outdated package versions are particularly vulnerable.
• nodejs / server:
npm list private-ipThis command will list the installed version of the private-ip package. Check if the version is less than or equal to 3.0.2.
• nodejs / server:
grep -r 'private-ip' package.jsonSearch for the package in your project's package.json file to identify dependencies.
• generic web:
Review application logs for unusual outbound requests to multicast IP addresses (224.0.0.0/4).
disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的最佳方法是升级到已修复的版本。由于 fixed_in 字段为 *,表明所有后续版本都已修复。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,阻止攻击者提供无效的 IP 地址。此外,可以审查 private-ip 包的使用方式,确保其仅用于预期的用途,并限制其访问权限。升级后,请验证修复是否成功,例如通过尝试使用多播 IP 地址发起请求,确认其已被阻止。
将 private-ip 软件包更新到最新可用版本。 这将通过将多播地址包含在私有 IP 地址范围列表中来修复 SSRF 漏洞。 运行 `npm install private-ip@latest` 或 `yarn upgrade private-ip@latest` 进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-8020 是 Node.js 包 private-ip 中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者发起未经授权的请求。
如果您的应用程序使用了 private-ip 包 3.0.2 或更早版本,则可能受到影响。
升级到 private-ip 包的最新版本以修复此漏洞。
目前尚未发现公开的利用程序,但存在被利用的风险。
请访问 private-ip 包的 GitHub 仓库或相关安全公告网站以获取更多信息。