Windows设备名称绕过path.normalize()路径遍历保护漏洞分析

本文详细分析了Node.js中CVE-2025-27210漏洞,Windows设备名称(CON、PRN、AUX)可绕过path.normalize()的路径遍历保护,影响使用path.join API的Windows用户,漏洞评级为高危(7.5分)。

Windows设备名称(CON, PRN, AUX)绕过path.normalize()路径遍历保护

漏洞概述

在Node.js中发现CVE-2025-23084的不完整修复,该漏洞特别影响Windows设备名称如CON、PRN和AUX。此漏洞影响使用path.join API的Windows用户。

时间线

  • 2025年5月23日 - oblivionsage向Node.js提交报告
  • 2025年5月27日 - rafaelgss (Node.js工作人员)将状态更改为"已分类"
  • 2025年6月17日 - 多次技术讨论和评论交流
  • 近期活动 - CVE引用更新为CVE-2025-27210,报告状态改为"已解决"
  • 2025年7月15日 - 报告被公开披露

技术详情

报告ID: #3160912
严重程度: 高危 (7.5分)
弱点类型: 路径遍历
CVE ID: CVE-2025-27210

影响范围

该漏洞 specifically 影响:

  • Windows操作系统用户
  • 使用Node.js path.join API的应用程序
  • 涉及Windows保留设备名称(CON、PRN、AUX)的文件路径处理

解决状态

报告已被Node.js安全团队标记为"已解决",相关修复已部署。漏洞发现者oblivionsage与Node.js工作人员rafaelgss进行了深入的技术讨论,最终确保了漏洞的完整修复。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次