Node.js 多個套件內嵌惡意程式碼 (CVE-2025-54313)

high Nessus Plugin ID 245592

概要

Node.js JavaScript 執行時間環境中有多個套件受到內嵌惡意程式碼影響。

說明

多個 nodejs 套件內嵌有惡意程式碼。安裝受影響的套件會執行 install.js 檔案進而在 Windows 上啟動 node-gyp.dll 惡意程式碼。下列 nodejs 套件和版本會受到影響

- @pkgr/core 0.2.8
- eslint-config-prettier 8.10.1, 9.1.1, 10.1.6, 10.1.7
- eslint-plugin-prettier 4.2.2、 4.2.3
- got-fetch 5.1.11, 5.1.12
- napi-postinstall 0.3.1
- synckit 0.11.9

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至受影響套件的修正版本。

另請參閱

https://github.com/advisories/GHSA-f29h-pxvx-f335

http://www.nessus.org/u?5bf8cbed

Plugin 詳細資訊

嚴重性: High

ID: 245592

檔案名稱: nodejs_eslint-config-prettier_CVE-2025-54313.nasl

版本: 1.1

類型: local

代理程式: windows

系列: Windows

已發布: 2025/8/8

已更新: 2025/8/8

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.1

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:C/A:N

CVSS 評分資料來源: CVE-2025-54313

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:N

弱點資訊

CPE: cpe:/a:nodejs:node.js

必要的 KB 項目: Host/nodejs/modules/enumerated

修補程式發佈日期: 2025/7/19

弱點發布日期: 2025/7/19

參考資訊

CVE: CVE-2025-54313