V8引擎HashDoS漏洞分析与影响

本文详细分析了Node.js v24.0.0中V8引擎采用rapidhash计算字符串哈希时重新引入的HashDoS漏洞,攻击者可通过控制哈希字符串制造碰撞攻击,影响所有Node.js v24.x版本用户。

Node.js | 报告 #3131758 - V8中的HashDoS漏洞 | HackerOne

跳至主要内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录

#3131758

复制报告ID复制报告ID
V8中的HashDoS漏洞

分享:

Node.js摘要菜单

Node.js v24.0.0使用的V8版本更改了使用rapidhash计算字符串哈希的方式。该实现重新引入了HashDoS漏洞——能够控制待哈希字符串的攻击者可生成大量哈希碰撞,甚至无需知晓哈希种子即可实现碰撞攻击。

此漏洞影响所有Node.js v24.x用户。

时间线

  • sharp_edged 向Node.js提交报告
    2025年5月6日 23:59 UTC
  • mcollina (Node.js员工) 发表评论
    2025年5月7日 05:05 UTC
  • mcollina 将状态改为"已分类"
    2025年5月9日 16:46 UTC
  • mcollina 发表评论
    2025年5月10日 07:50 UTC
  • snek 以默认权限加入本报告参与
    2025年6月12日 19:00 UTC
  • snek 发表评论
    2025年6月12日 21:33 UTC
  • mhdawson (Node.js员工) 发表评论
    2025年6月13日 13:26 UTC
  • mcollina 发表评论
    2025年6月13日 15:10 UTC
  • rafaelgss (Node.js员工) 发表评论
    8天前
  • snek 发表评论
    8天前
  • Bot: security-release-stewards 更新CVE引用为CVE-2025-27209
    8天前
  • Bot: security-release-stewards 关闭报告并将状态改为"已解决"
    13小时前
  • Bot: security-release-stewards 请求披露此报告
    13小时前
  • sharp_edged 同意披露此报告
    12小时前
  • 此报告已被披露
    12小时前

报告详情

  • 报告时间:2025年5月6日 23:59 UTC
  • 报告者:sharp_edged
  • 报告对象:Node.js
  • 参与者:见时间线
  • 报告ID:#3131758
  • 状态:已解决
  • 严重程度:高危 (7.5)
  • 披露时间:2025年7月15日 22:49 UTC
  • 弱点类型:加密问题 - 通用
  • CVE ID:CVE-2025-27209
  • 赏金:无
  • 账户详情:无

看起来您的JavaScript已被禁用。使用HackerOne需启用浏览器JavaScript并刷新页面。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次