sha.js 缺少类型检查，导致哈希回退并传递构造数据

CVE-2025-9288 在 sha.js 中源于缺乏输入类型检查。这允许传递除良好格式化的 Buffer 或 string 之外的类型，可能导致无效值、挂起以及哈希状态回滚（包括将标记哈希转换为未标记哈希），或其它通常无法预测的行为。攻击者可以利用此漏洞通过操纵哈希过程来破坏数据完整性，尤其是在依赖 SHA 哈希函数安全性的应用程序中。该漏洞的严重程度在 CVSS 规模上评为 9.1，表明存在高风险。强烈建议升级到 2.4.12 或更高版本以减轻此风险。

Applications relying on sha.js for cryptographic hashing, particularly those handling untrusted input, are at significant risk. This includes web applications, backend services, and any Node.js projects utilizing sha.js directly or as a dependency. Projects that have not implemented robust input validation practices are particularly vulnerable.

• nodejs / server:

  ps aux | grep sha.js

• nodejs / supply-chain:

  npm ls sha.js

• nodejs / server:

  npm audit sha.js

• nodejs / server:

  find / -name 'sha.js' -type f

1. 2025-08-21Disclosure

   disclosure

1. 已保留2025-08-20
2. 发布日期2025-08-21
3. 修改日期2026-03-16
4. EPSS 更新日期2026-03-23

CVE-2025-9288 的主要缓解措施是升级到 sha.js 的 2.4.12 或更高版本。此版本包含必要的修复程序，以正确验证输入类型并防止无法预测的行为。如果无法立即升级，请检查使用 sha.js 的代码，以确保仅将良好格式化的 Buffer 或字符串作为输入传递。此外，在升级完成之前，密切监控使用 sha.js 的应用程序是否存在任何异常行为。