Node.js | 报告 #3131758 - V8引擎中的HashDoS漏洞 | HackerOne
Node.js v24.0.0使用的V8引擎版本变更了通过rapidhash计算字符串哈希的方式。该实现重新引入了HashDoS漏洞 - 攻击者通过控制待哈希字符串可生成大量哈希碰撞,且无需知晓哈希种子(hash-seed)。
该漏洞影响所有Node.js v24.x版本用户。
时间线
- sharp_edged 向Node.js提交报告
2025年5月6日 23:59 UTC - mcollina Node.js工作人员发表评论
2025年5月7日 05:05 UTC - mcollina Node.js工作人员将状态改为"Triaged"
2025年5月9日 16:46 UTC - mcollina Node.js工作人员发表评论
2025年5月10日 07:50 UTC - snek 以默认权限加入报告
2025年6月12日 19:00 UTC - snek 发表评论
2025年6月12日 21:33 UTC - mhdawson Node.js工作人员发表评论
2025年6月13日 13:26 UTC - mcollina Node.js工作人员发表评论
2025年6月13日 15:10 UTC - rafaelgss Node.js工作人员发表评论
9天前 - snek 发表评论
9天前 - Bot: security-release-stewards 更新CVE引用为CVE-2025-27209
9天前 - Bot: security-release-stewards 关闭报告并将状态改为"Resolved"
9天前 - Bot: security-release-stewards 请求公开该报告
2天前 - sharp_edged 同意公开该报告
2天前 - 该报告已被公开
2天前
报告信息
- 报告时间:2025年5月6日 23:59 UTC
- 报告人:sharp_edged
- 报告对象:Node.js
- 参与者:见时间线
- 报告ID:#3131758
- 状态:已解决
- 严重程度:高危(7.5)
- 公开时间:2025年7月15日 22:49 UTC
- 弱点类型:加密问题 - 通用型
- CVE ID:CVE-2025-27209
- 奖金:无
- 账户详情:无