Windows设备名绕过路径遍历防护漏洞分析:Node.js path.normalize()的安全隐患

本文详细分析了Node.js中CVE-2025-27210漏洞,该漏洞允许攻击者通过Windows设备名(CON、PRN、AUX)绕过path.normalize()的路径遍历保护,影响Windows平台的path.join API使用安全。

Windows设备名(CON、PRN、AUX)绕过path.normalize()路径遍历防护

漏洞概述

Node.js中存在一个针对CVE-2025-23084的不完整修复,该漏洞特别影响Windows设备名称(如CON、PRN、AUX)。此安全漏洞影响使用path.join API的Windows用户。

时间线

  • 2025年5月23日:oblivionsage向Node.js提交报告
  • 2025年5月27日:Node.js工作人员rafaelgss将状态改为"已分类"
  • 2025年6月17日:CVE引用更新为CVE-2025-27210
  • 2025年7月15日:报告被披露

漏洞详情

报告ID: #3160912
严重程度: 高(7.5)
弱点类型: 路径遍历
CVE ID: CVE-2025-27210

影响范围

该漏洞主要影响:

  • Windows操作系统用户
  • 使用Node.js path.join API的应用程序
  • 涉及路径规范化处理的Node.js应用

解决方案

Node.js安全团队已将该漏洞标记为"已解决",并分配了CVE-2025-27210编号。建议用户及时更新Node.js版本以获取安全修复。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次