数据观澜数据库
快捷导航
您的位置:首页>网络安全>>Vue、React 无一幸免!严重漏洞速查! >

Vue、React 无一幸免!严重漏洞速查!

  发布时间:2025-12-07 20:42:11   作者:玩站小弟   我要评论
sha.js是JavaScript生态里最常用的轻量级加密库。它由Browserify社区维护,体积不足20 KB,却实现了SHA-1、SHA-224、SHA-256、SHA-384、SHA-512全 。

sha.js 是无幸 JavaScript 生态里最常用的轻量级加密库。

它由 Browserify 社区维护,免严体积不足 20 KB ,重漏却实现了 SHA-1、洞速SHA-224 、免费模板无幸SHA-256 、免严SHA-384、重漏SHA-512 全系列算法,洞速是无幸 crypto-browserify、webpack 、建站模板免严web3.js 等数百个流行包的重漏“根依赖”。

而就在前几天,洞速美国 NVD(国家漏洞库)正式发布 CVE-2025-9288,无幸指向 JavaScript 加密库 sha.js 。免严

事件概述

美国 NVD(国家漏洞库)正式发布 CVE-2025-9288

指向 JavaScript 加密库 sha.js。高防服务器重漏该漏洞被评定为 严重级(CVSS 9.1),影响 每周 1 400 万次下载 的 Node.js 与浏览器端项目 ,堪称 2025 年波及面最广的前端供应链事件之一  。

官方修复版本:sha.js 2.4.12(已推送 npm)受影响版本:≤2.4.11发现与披露 :GitHub Advisory + FreeBuf 首发技术长文漏洞原理 30 秒速读

sha.js 在处理输入时 未校验数据类型与长度 ,源码下载攻击者通过构造畸形对象 :

复制{ length: -1 }1.

即可触发:

哈希降级 / 碰撞 :相同摘要对应不同数据DoS 无限循环  :CPU 被瞬间打满私钥恢复:若哈希结果作为随机数 nonce ,可反向推导私钥波及面:35 个库 / 框架 / 工具链

我们综合 NVD、GitHub Advisory、npm 依赖树 以及 主流安全媒体 的交叉验证,整理出 35 条 确认受影响的香港云服务器库与场景.

覆盖 Web3 、前端、Node 服务 、桌面与移动开发全链路 。

★15 个高频直接依赖库

#

典型受感染版本

备注

1

browserify

≤17.0.0

打包器

2

create-hash

≤1.2.0

被大量加密库二次封装

3

create-hmac

≤1.1.7

HMAC 封装

4

crypto-browserify

≤3.12.0

Web 环境 crypto polyfill

5

crypto-js

≤4.1.1

重新打包 sha.js 旧代码

6

elliptic

≤6.5.4

椭圆曲线运算

7

ethers

≤4.0.47 / 5.6.8

以太坊 JS SDK

8

ganache-cli

≤6.12.2

本地区块链

9

hash.js

≤1.1.7

sha.js 的别名发布

10

keccak

≤3.0.2

以太坊 Keccak 封装

11

merkle-patricia-tree

≤4.2.4

以太坊状态树

12

mocha

≤9.2.2

测试框架(开发依赖)

13

parcel-bundler

≤2.8.3

零配置打包器

14

web3

≤1.7.0

以太坊官方 JS SDK

15

webpack

≤4.46.0 / ≤5.74.0

构建工具

20 个间接或场景级受影响库 / 框架 / 工具链

#

包名 / 组件

场景说明

16

@solana/web3.js

Solana 链 JS SDK(历史版本锁定)

17

@truffle/contract

Truffle 测试套件

18

@vue/cli-service

Vue CLI 打包链

19

@angular-devkit/build-angular

Angular CLI

20

@react-native-community/cli

React Native CLI

21

hardhat

以太坊本地开发框架

22

remix-dev

Remix 全栈框架

23

next

Next.js SSR 框架

24

nuxt

Nuxt.js SSR 框架

25

expo-cli

Expo RN 开发工具

26

serverless

Serverless Framework

27

electron-builder

Electron 打包器

28

@babel/preset-env

Babel 转译链

29

jest-environment-jsdom

Jest 测试环境

30

ts-node

TypeScript 运行时

31

lerna

Monorepo 管理

32

gulp-cli

流式构建工具

33

rollup-plugin-node-polyfills

Rollup Node Polyfill

34

vite

Vite 构建工具(部分插件)

35

astro

Astro 静态站点生成器

30 秒自查清单 复制# 1. 查看本机 / CI 是源码库否存在旧版本 npm ls sha.js # 2. 全局搜索 lock 文件 grep -E sha\.js@2\.4\.(1[0-1]|[0-9]) package-lock.json yarn.lock pnpm-lock.yaml # 3. 使用 SCA 工具(推荐) npx audit-ci --moderate1.2.3.4.5.6.7.8. 一键修复方案(复制即用) 复制# 升级到官方修复版 npm install sha.js@2.4.12 --save-exact # 自动修复所有依赖链 npm audit fix --force # 重新构建并测试 npm run build1.2.3.4.5.6.7.8.

临时缓解(无法立即升级时):在调用 sha.js 前加入类型校验 ,仅允许 string 或 Buffer 类型输入。

官方参考链接:

NVD 详情 :https://nvd.nist.gov/vuln/detail/CVE-2025-9288GitHub Advisory:https://github.com/browserify/sha.js/security/advisories/GHSA-95m3-7q98-8xr5FreeBuf 深度分析 :https://www.freebuf.com/articles/web/445352.html
  • Tag:

相关文章

  • 浅析容器运行时安全加固

    随着云计算的蓬勃发展,云原生的概念于2013年被提出,Pivotal 公司的 Matt Stine 在概念中提出了云原生的4个要点:DevOps、持续交付、微服务、容器。而在 2015 年 Googl
    2025-12-07

  • 网络虚拟化和SDN在数据中心中的作用

    勒索软件和其他恶意软件的日益流行使企业重新考虑网络安全,包括在数据中心的网络安全。这种增长有助于激发人们对零信任架构的兴趣。DevOps及其衍生后代(即NetOps、DevSecOps、SecDevO
    2025-12-07

  • OtterBox手机壳散热效果如何?(了解OtterBox手机壳散热功能和用户体验)

    OtterBox作为一家知名的手机壳品牌,一直以来以其出色的保护性能而受到广大消费者的青睐。然而,随着手机的性能和功能不断提升,过热问题也日益突出。越来越多的用户开始关注手机壳的散热功能。本文将就Ot
    2025-12-07

  • u深度安装Linux教程(轻松学习如何在u深度上安装Linux系统)

    对于想要在u深度操作系统上安装Linux系统的用户来说,本篇文章将为您提供一份简明扼要的教程。在这个教程中,我们将逐步指导您完成安装过程,以帮助您轻松地在u深度上运行Linux系统。无论您是初学者还是
    2025-12-07

  • 创新在左,威胁在右!技术创新引发的安全风险实例研究

    当前,新技术的创新应用加速了数字世界和物理世界的深度融合,引领人类社会进入全新的发展阶段。然而,一个不可否认的现实是,人们如今所享受的许多创新技术和先进功能,最终也会被恶意攻击者所利用。很多新技术在投
    2025-12-07

  • 天语金星(革新家庭生活方式,提升居住体验)

    随着科技的不断进步和人们对智能化生活的需求增加,智能助手已经成为许多家庭的必备设备。而在众多智能助手中,天语金星以其先进的功能和独特的设计赢得了众多用户的喜爱和追捧。本文将对天语金星进行详细介绍,并探
    2025-12-07

最新评论