Node.js | 报告 #3131758 - V8引擎中的HashDoS漏洞 | HackerOne
漏洞概要
Node.js v24.0.0使用的V8引擎版本修改了通过rapidhash计算字符串哈希的方式。该实现重新引入了HashDoS漏洞——攻击者通过控制待哈希字符串可制造大量哈希碰撞,甚至无需知晓hash-seed即可实现碰撞攻击。
此漏洞影响所有Node.js v24.x版本用户。
时间线
- 2025年5月6日 sharp_edged 向Node.js提交漏洞报告
- 2025年5月7日 Node.js团队成员mcollina确认漏洞
- 2025年5月9日 漏洞状态变更为"Triaged"(已分类)
- 2025年6月12日 安全研究员snek加入调查
- 2025年7月8日 漏洞获得CVE编号CVE-2025-27209
- 2025年7月15日 漏洞状态变更为"Resolved"(已修复)并公开披露
关键信息
| 字段 | 详情 |
|---|---|
| 报告ID | #3131758 |
| 严重程度 | 高危 (7.5) |
| 漏洞类型 | 加密问题 - 通用型 |
| 影响版本 | Node.js v24.x全系列 |
| 赏金金额 | 无 |