Node.js | 报告 #3131758 - V8中的HashDoS | HackerOne

跳过主内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录35#3131758复制报告ID复制报告IDV8中的HashDoS分享：Node.js菜单摘要

Node.js v24.0.0中使用的V8版本改变了使用rapidhash计算字符串哈希的方式。该实现重新引入了HashDoS漏洞，攻击者能够控制要哈希的字符串时可以生成许多哈希碰撞——攻击者甚至可以在不知道哈希种子的情况下生成碰撞。

此漏洞影响Node.js v24.x用户。

时间线

• sharp_edged 向Node.js提交报告。2025年5月6日，UTC时间23:59
• mcollina Node.js工作人员 发表评论。2025年5月7日，UTC时间5:05
• mcollina Node.js工作人员 将状态更改为已分类。2025年5月9日，UTC时间16:46
• mcollina Node.js工作人员 发表评论。2025年5月10日，UTC时间7:50
• snek 以默认权限加入此报告作为参与者。2025年6月12日，UTC时间19:00
• snek 发表评论。2025年6月12日，UTC时间21:33
• mhdawson Node.js工作人员 发表评论。2025年6月13日，UTC时间13:26
• mcollina Node.js工作人员 发表评论。2025年6月13日，UTC时间15:10
• rafaelgss Node.js工作人员 发表评论。12天前
• snek 发表评论。12天前
• Bot: security-release-stewards 更新CVE引用为CVE-2025-27209。12天前
• Bot: security-release-stewards 关闭报告并将状态更改为已解决。5天前
• Bot: security-release-stewards 请求披露此报告。5天前
• sharp_edged 同意披露此报告。5天前
• 此报告已被披露。5天前

报告于 2025年5月6日，UTC时间23:59
报告者 sharp_edged
报告至 Node.js
参与者
报告ID #3131758
已解决
严重性 高 (7.5)
披露时间 2025年7月15日，UTC时间22:49
弱点 加密问题 - 通用
CVE ID CVE-2025-27209
奖金 无
账户详情 无

看起来您的JavaScript被禁用了。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。