Nodejs Path Traversal Vulnerability
漏洞信息
漏洞名称: Node.js Path Traversal Vulnerability
漏洞编号:
- CVE: CVE-2025-27210
漏洞类型: 目录遍历
漏洞等级: 高危
漏洞描述: 该漏洞影响运行在Microsoft Windows上的Node.js应用程序,具体表现为路径遍历漏洞。漏洞利用了Windows处理保留设备文件名(如AUX、CON、NUL)的特殊方式,当这些文件名与目录遍历序列(../)结合在由path.join()或path.normalize()等函数处理的文件路径中时,可能导致安全风险。这种漏洞允许攻击者通过构造特定的文件路径,绕过正常的文件访问限制,访问或操作服务器上的任意文件,包括敏感系统文件。由于Node.js广泛应用于Web开发中,尤其是在构建高性能网络应用程序时,此漏洞的存在可能导致严重的安全问题,如敏感数据泄露、系统文件被篡改等。攻击者无需认证即可利用此漏洞,且可以自动化执行攻击,因此风险等级被评估为高危。
产品厂商: Node.js
产品名称: Node.js
来源: https://github.com/absholi7ly/CVE-2025-27210_NodeJS_Path_Traversal_Exploit
类型: CVE-2025:github search
仓库文件
- .gitignore
- CVE-2025-27210_NodeJS_Path_Traversal_Exploiter.py
- LICENSE
- README.md
- poc(2).jpg
- poc1.jpg
来源概述
CVE-2025-27210_NodeJS_Path_Traversal_Exploiter
Proof of Concept CVE-2025-27210, a precise Path Traversal vulnerability affecting Node.js applications running on Microsoft Windows. This vulnerability leverages the specific way Windows handles reserved device file names (e.g., AUX, CON, NUL) when combined with directory traversal sequences (../) within file paths processed by functions like path.join() or path.normalize().
1 | |
.jpg)