Node.js V8引擎HashDoS漏洞分析报告
原创
Node.js V8引擎HashDoS漏洞分析报告
原创
qife122
发布于 2025-08-05 18:19:47
发布于 2025-08-05 18:19:47
Node.js | 报告 #3131758 - V8引擎中的HashDoS漏洞 | HackerOne
漏洞概要
Node.js v24.0.0使用的V8引擎版本修改了通过rapidhash计算字符串哈希的方式。该实现重新引入了HashDoS漏洞——攻击者若能控制被哈希处理的字符串,即可制造大量哈希碰撞(攻击者甚至无需知晓哈希种子即可生成碰撞)。
此漏洞影响所有Node.js v24.x版本用户。
时间线
- 2025年5月6日 sharp_edged 向Node.js提交报告
- 2025年5月7日 mcollina(Node.js团队成员)发表评论
- 2025年5月9日 状态变更为"Triaged"
- 2025年6月12日 snek 加入报告参与
- 2025年6月13日 多位Node.js团队成员参与讨论
- 9天前 安全机器人更新CVE编号为CVE-2025-27209
- 2天前 报告状态变更为"已解决"并公开披露
报告信息
字段 | 内容 |
|---|---|
报告ID | #3131758 |
状态 | 已解决 |
严重性 | 高危 (7.5) |
披露时间 | 2025年7月15日 |
漏洞类型 | 加密问题 - 通用型 |
CVE ID | CVE-2025-27209 |
赏金 | 无 |
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
