Uma vulnerabilidade crítica de segurança foi descoberta no pacote SHA.JS NPM amplamente usado, expondo milhões de aplicações a ataques sofisticados de manipulação de hash que poderiam comprometer operações criptográficas e habilitar Acesso não autorizado para sistemas sensíveis.
A vulnerabilidade, designada CVE-2025-9288, afeta todas as versões de até 2.4.11 da biblioteca, que acumulou mais de 14 milhões de downloads no ecossistema JavaScript.
Detalhes de vulnerabilidade e vetores de ataque
A falha de segurança decorre da validação ausente do tipo de entrada dentro do mecanismo de cálculo de hash da Biblioteca Sha.js, permitindo que os atacantes manipulem os estados de hash por meio de entrada cuidadosamente criada em stringifiable.
| Detalhes da CVE | Informação |
| Cve id | CVE-2025-9288 |
| Gravidade | Crítico |
| Pontuação CVSS V4 | CVSS: 4.0/av: n/ac: h/at: p/pr: n/ui: n/vc: n/vi: h/va: h/sc: h/si: h/sa: n |
| Pacote afetado | SHA.JS (NPM) |
| Versões afetadas | ≤2.4.11 |
Pesquisador de segurança Chalker descoberto Que os atores maliciosos possam explorar essa fraqueza para rebobinar os estados de hash, converter hashes marcados em variantes não agradáveis e gerar colisões de hash que ignoram os controles de segurança.
A vulnerabilidade se manifesta em três cenários de ataque primário. Primeiro, os invasores podem desencadear os rebobes do estado de hash usando objetos com propriedades de comprimento negativo, reverter efetivamente o estado criptográfico para valores anteriores.
Segundo, a falha permite ataques de cálculo de valor em que objetos especialmente criados podem produzir saídas de hash idênticas para diferentes dados de entrada, criando cenários de colisão perigosos.
Terceiro, a vulnerabilidade permite ataques de negação de serviço, fornecendo valores de comprimento malformados que fazem com que a biblioteca pendure indefinidamente.
A vulnerabilidade foi atribuída a uma pontuação base crítica do CVSS V4, refletindo seu impacto potencial grave nos sistemas vulneráveis e subsequentes.
O vetor de ataque opera sobre conexões de rede com requisitos de alta complexidade, mas sem interação do usuário, tornando -o particularmente perigoso para cenários de exploração automatizados.
Os mantenedores sha.js abordaram o vulnerabilidade Na versão 2.4.12, que inclui validação abrangente do tipo de entrada para impedir os vetores de ataque identificados.
As organizações que utilizam a biblioteca afetada devem atualizar imediatamente para a versão corrigida e realizar avaliações de segurança completas de sistemas que podem ter sido expostos a tentativas de manipulação de hash maliciosas.
A descoberta ressalta a importância crítica de uma robusta validação de entrada em bibliotecas criptográficas e destaca os riscos de segurança em cascata que podem emergir de supervisões aparentemente pequenas de implementação em componentes de código aberto amplamente adotados.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!