2025-0189: Node.js: Mehrere Schwachstellen ermöglichen u. a. einen Path-Traversal-Angriff

Historie:

Version 1 (2025-01-22 18:16)

Neues Advisory

Version 2 (2025-01-27 16:16)

Ein Angreifer kann die Schwachstelle (CVE-2025-22150) aus der Ferne ausnutzen, um HTTP-Anfragen zu manipulieren. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers. Für Fedora 40 und 41 stehen Sicherheitsupdates für 'nodejs18', 'nodejs20' und 'nodejs22' (nur Fedora 41) im Status 'testing' bereit, um die Schwachstellen in den jeweils betroffenen Versionen zu beheben. Für openSUSE Leap 15.4 und 15.5, für die SUSE Linux Enterprise Produkte High Performance Computing 15 SP4, 15 SP5, 15 SP4 ESPOS, 15 SP5 ESPOS, 15 SP4 LTSS und 15 SP5 LTSS, Server 12 SP5, 12 SP5 LTSS / LTSS Extended Security, 15 SP4, 15 SP4 LTSS, 15 SP5 und 15 SP5 LTSS und Server for SAP Applications 15 SP4 und 15 SP5 sowie für die SUSE Manager Produkte Server 4.3 stehen Sicherheitsupdates für 'nodejs18' bereit, um zwei Schwachstellen zu beheben. Für openSUSE Leap 15.5 und 15.6 sowie für die SUSE Linux Enterprise Produkte High Performance Computing 15 SP5 und 15 SP5 ESPOS / LTSS, Server 15 SP5, 15 SP5 LTSS und 15 SP6 und Server for SAP Applications 15 SP5 und 15 SP6 sowie für Web and Scripting Module 15 SP6 stehen Sicherheitsupdates für 'nodejs20' bereit, um drei Schwachstellen zu beheben.

Version 3 (2025-01-30 09:06)

Für openSUSE Leap 15.6, SUSE Linux Enterprise Server 15 SP6, SUSE Linux Enterprise Server for SAP Applications 15 SP6 und Web and Scripting Module 15 SP6 stehen Sicherheitsupdates für 'nodejs22' bereit, um drei Schwachstellen zu beheben.

Version 4 (2025-02-14 15:05)

Für das Modul 'nodejs:20' für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) und korrespondierend für Oracle Linux 8 sowie für die Module 'nodejs:18' und 'nodejs:20' für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64) stehen Sicherheitsupdates bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2025-02-17 10:07)

Für Oracle Linux 9 (aarch64, x86_64) stehen Sicherheitsupdates für 'nodejs:18' und 'nodejs:20' auf die Versionen 18.20.6 bzw. 20.18.2 bereit, um die betreffenden Schwachstellen zu beheben.

Version 6 (2025-02-17 11:34)

Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 und for ARM 64- Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64) und Red Hat Enterprise Linux for ARM 64 - 4 Years of Updates 9.4 (aarch64) Sicherheitsupdates für 'nodejs:20' auf Version 20.18.2 zur Behebung der betreffenden Schwachstelle.

Version 7 (2025-02-17 18:35)

Red Hat stellt für Red Hat Enterprise Linux for x86_64 und for ARM 64 8 (x86_64, aarch64) Sicherheitsupdates für 'nodejs:18' zur Behebung der betreffenden Schwachstellen bereit.

Version 8 (2025-02-18 07:14)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'nodejs:22' auf Version 22.13.1 bereit, um die betreffenden Schwachstellen zu adressieren.

Version 9 (2025-02-19 16:04)

Für Oracle Linux 8 (x86_64, aarch64) stehen zu RHSA-2025:1582 korrespondierende Sicherheitsupdates für 'nodejs:18' bereit, um die betreffenden beiden Schwachstellen zu beheben.

Version 10 (2025-02-19 16:07)

Für Oracle Linux 8 (x86_64, aarch64) stehen zu RHSA-2025:1611 korrespondierende Sicherheitsupdates für 'nodejs:22' bereit, um die betreffenden Schwachstellen zu beheben.

Version 11 (2025-02-19 17:24)

Für Oracle Linux 9 (x86_64, aarch64) stehen zu RHSA-2025:1613 korrespondierende Sicherheitsupdates für 'nodejs:22' bereit, um die betreffenden Schwachstellen zu beheben.

Version 12 (2025-02-21 07:52)

Für Fedora 41 steht das Paket 'nodejs22-22.14.0-2.fc41' im Status 'testing' als aktualisiertes Sicherheitsupdate bereit, um die betreffende Schwachstelle zu beheben. Das vorhergehende Sicherheitsupdate FEDORA-2025-bb5d73eb98 wurde dadurch ersetzt und ist in den Status 'obsolete' übergegangen, weshalb dessen Referenz hier entfernt wurde.

Version 13 (2025-02-25 18:25)

Für Debian 11 Bullseye (LTS) steht ein Sicherheitsupdate für 'nodejs' in Version 12.22.12~dfsg-1~deb11u6 bereit, um die Schwachstelle CVE-2025-23085 zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren Informationen auszuspähen und einen Path-Traversal-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Es werden weitere CVEs für End-of-Life (EOL) Versionen von Node.js erwähnt sowie die Schwachstelle CVE-2025-22150 in einer Abhängigkeit (undici).

Zur Behebung der Schwachstellen stehen die Node.js Sicherheitsupdates v18.20.6 LTS, v20.18.2 LTS, 22.13.1 LTS und v23.6.1 bereit.

Schwachstellen:

CVE-2025-22150

Schwachstelle in undici ermöglicht Manipulation von Anfragen

CVE-2025-23083

Schwachstelle in Node.js ermöglicht u. a. Manipulation von Dateien

CVE-2025-23084

Schwachstelle in Node.js ermöglicht Path-Traversal-Angriff

CVE-2025-23085

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.