Уязвимость BDU:2025-09382

Идентификатор: BDU:2025-09382.

Наименование уязвимости: Уязвимость функции path.normalize() программной платформы Node.js, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации.

Описание уязвимости: Уязвимость функции path.normalize() программной платформы Node.js связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
Уязвимое ПО: Сетевое программное средство Node.js Foundation Node.js до 20.19.4 | Сетевое программное средство Node.js Foundation Node.js до 22.17.1 | Сетевое программное средство Node.js Foundation Node.js до 24.4.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 15.07.2025.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,9)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://nodejs.org/en/blog/vulnerability/july-2025-security-releases#hashdos-in-v8-cve-2025-27209—high.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-27210.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nodejs.org/en/blog/vulnerability/july-2025-security-releases#hashdos-in-v8-cve-2025-27209—high
https://1275.ru/vulnerability/kriticheskie-uyazvimosti-v-node-js-ugrozhayut-bezopasnosti-windows-prilozheniy-patch-traversal-i-hashdos-ataki_13006
https://github.com/mindeddu/Vulnerable-CVE-2025-27210