Er is een kwetsbaarheid geïdentificeerd in Node.js die specifiek de omgang met drive namen in het Windows-omgeving beïnvloedt. Hoewel Node.js ervan uitgaat dat padnamen relatief zijn, verwijzen deze eigenlijk naar de hoofdmap. Dit kan leiden tot ongewenste toegangspaden, wat vooral van invloed is op gebruikers van de path.join API op Windows.
Versies van Node.js van 4.0 tot 23.6.1 zijn getroffen.
Overzicht
De kwetsbaarheid ontstaat doordat bepaalde Node.js-functies op Windows drive namen niet als speciaal behandelen. Hierdoor wordt verwacht dat een pad relatief is, terwijl het feitelijk naar een root directory verwijst.
Aanbevelingen
- Update naar een niet-getroffen versie. Voor versies 18.x upgrade naar 18.20.6 of hoger, voor 20.x naar 20.18.2, en voor 22.x naar 22.13.1.
- Controleer regelmatig updates op de officiële Node.js veiligheidspagina.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-23084?
Dit is een geïdentificeerde kwetsbaarheid in de omgang van padnamen door Node.js in Windows, die onbedoeld toegang tot de rootdirectory mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-23084?
Alle Windows-systemen die getroffen versies van Node.js draaien, specifiek voor versies van 4.0 tot 23.6.1.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates zijn beschikbaar voor beïnvloede versies. Zie de aanbevelingssectie voor specifieke richtlijnen.
Wat kan een aanvaller met deze kwetsbaarheid?
Hoewel er volgens CISA geen directe exploitatie of automatisering is, kan een aanvaller potentieel ongewenste toegang verkrijgen tot bestanden door misbruik van de path-traversal kwetsbaarheid.
