Node.js 多個套件內嵌惡意程式碼 (CVE-2025-54313)
high Nessus Plugin ID 245592
語言:
概要
Node.js JavaScript 執行時間環境中有多個套件受到內嵌惡意程式碼影響。說明
多個 nodejs 套件內嵌有惡意程式碼。安裝受影響的套件會執行 install.js 檔案進而在 Windows 上啟動 node-gyp.dll 惡意程式碼。下列 nodejs 套件和版本會受到影響- @pkgr/core 0.2.8
- eslint-config-prettier 8.10.1, 9.1.1, 10.1.6, 10.1.7
- eslint-plugin-prettier 4.2.2、 4.2.3
- got-fetch 5.1.11, 5.1.12
- napi-postinstall 0.3.1
- synckit 0.11.9
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至受影響套件的修正版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 245592
檔案名稱: nodejs_eslint-config-prettier_CVE-2025-54313.nasl
版本: 1.1
類型: local
代理程式: windows
系列: Windows
已發布: 2025/8/8
已更新: 2025/8/8
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.1
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:C/A:N
CVSS 評分資料來源: CVE-2025-54313
CVSS v3
風險因素: High
基本分數: 7.5
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:N
弱點資訊
CPE: cpe:/a:nodejs:node.js
必要的 KB 項目: Host/nodejs/modules/enumerated
修補程式發佈日期: 2025/7/19
弱點發布日期: 2025/7/19
參考資訊
CVE: CVE-2025-54313