Node.js V8引擎HashDoS漏洞分析报告
Node.js | 报告 #3131758 - V8引擎中的HashDoS漏洞 | HackerOne
漏洞概要
Node.js v24.0.0使用的V8引擎版本修改了通过rapidhash计算字符串哈希的方式。该实现重新引入了HashDoS漏洞——攻击者若能控制被哈希处理的字符串,即可制造大量哈希碰撞(攻击者甚至无需知晓哈希种子即可生成碰撞)。
此漏洞影响所有Node.js v24.x版本用户。
时间线
- 2025年5月6日 sharp_edged 向Node.js提交报告
- 2025年5月7日 mcollina(Node.js团队成员)发表评论
- 2025年5月9日 状态变更为"Triaged"
- 2025年6月12日 snek 加入报告参与
- 2025年6月13日 多位Node.js团队成员参与讨论
- 9天前 安全机器人更新CVE编号为CVE-2025-27209
- 2天前 报告状态变更为"已解决"并公开披露
报告信息
| 字段 | 内容 |
|---|---|
| 报告ID | #3131758 |
| 状态 | 已解决 |
| 严重性 | 高危 (7.5) |
| 披露时间 | 2025年7月15日 |
| 漏洞类型 | 加密问题 - 通用型 |
| CVE ID | CVE-2025-27209 |
| 赏金 | 无 |
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
浙公网安备 33010602011771号