Windows设备名称绕过path.normalize()路径遍历保护漏洞分析

本文披露了Node.js中CVE-2025-23084的不完全修复漏洞,攻击者可通过Windows设备名称(CON、PRN、AUX)绕过path.normalize()的路径遍历保护,影响Windows用户的path.join API使用安全。

Windows设备名称(CON、PRN、AUX)绕过path.normalize()路径遍历保护

漏洞概述

在Node.js中发现CVE-2025-23084的不完全修复漏洞,该漏洞特别影响Windows设备名称(如CON、PRN、AUX)的处理。此安全漏洞影响使用path.join API的Windows用户。

时间线

  • 2025年5月23日:oblivionsage向Node.js提交漏洞报告
  • 2025年5月27日:rafaelgss(Node.js工作人员)将状态改为"已分类"
  • 2025年6月17日:安全发布管理员移除CVE引用
  • 近期活动:漏洞被分配CVE-2025-27210,报告状态改为"已解决"并公开披露

漏洞详情

  • 报告ID:#3160912
  • 严重程度:高危(7.5分)
  • 弱点类型:路径遍历
  • CVE ID:CVE-2025-27210
  • 披露时间:2025年7月15日

技术影响

攻击者可以利用Windows特殊设备名称绕过path.normalize()函数中的路径遍历保护机制,可能导致未经授权的文件访问和目录遍历攻击。

参与人员

  • 报告者:oblivionsage(已验证身份的安全研究员)
  • Node.js处理人员:rafaelgss(Node.js工作人员)
  • 状态:已解决并公开披露
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次