Er is een onvolledige oplossing gevonden voor CVE-2025-23084 in Node.js, die specifiek van invloed is op Windows apparaatnamen zoals CON, PRN en AUX. Deze kwetsbaarheid treft Windows-gebruikers van de path.join API en kan leiden tot significante beveiligingsrisico’s. Aanvallers kunnen dit lek misbruiken zonder enige authenticatie, wat het risico vergroot.
Overzicht
De kwetsbaarheid CVE-2025-27210 is ingeschaald als hoog risico met een CVSS-score van 7.5. De impact is vooral ernstig voor Node.js-versies die draaien op Windows-systemen en maakt gebruik van bepaalde apparaatnamen die niet correct worden afgehandeld in de path.join methode.
Aanbevelingen
- Voer zo snel mogelijk een update uit naar de laatste, veilige versies van Node.js, hoger dan 20.19.4 voor versie 20.x, hoger dan 22.17.1 voor versie 22.x, en hoger dan 24.4.1 voor versie 24.x.
- Monitor uw systemen op verdachte activiteiten, vooral als u afhankelijk bent van de
path.joinAPI in Node.js-toepassingen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-27210?
Dit is een kwetsbaarheid die betrekking heeft op de onjuiste afhandeling van bepaalde Windows apparaatnamen in de path.join API van Node.js.
Welke systemen zijn kwetsbaar voor CVE-2025-27210?
Windows-gebruikers van Node.js versie 20, 22, en 24 die niet geüpdatet zijn, zijn vatbaar. Oudere versies van Node.js voor versie 20 zijn eveneens kwetsbaar onder bepaalde omstandigheden.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn patches beschikbaar. Gebruikers dienen te upgraden naar de veilige versies: hoger dan 20.19.4, 22.17.1, en 24.4.1.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan systeemtoegang verkrijgen en potentieel schadelijke opdrachten uitvoeren door verkeerde apparaatnamen te exploiteren.
