Vulnerabilidad en Koa (CVE-2025-25200)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/02/2025
Última modificación:
20/01/2026
Descripción
Koa es un middleware expresivo para Node.js que utiliza funciones asincrónicas ES2017. En versiones anteriores a las 0.21.2, 1.7.1, 2.15.4 y 3.0.0-alpha.3, Koa utiliza una expresión regular maliciosa para analizar los encabezados HTTP `X-Forwarded-Proto` y `X-Forwarded-Host`. Esto se puede aprovechar para llevar a cabo un ataque de denegación de servicio. Las versiones 0.21.2, 1.7.1, 2.15.4 y 3.0.0-alpha.3 solucionan el problema.
Impacto
Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:koajs:koa:*:*:*:*:*:node.js:*:* | 0.21.2 (excluyendo) | |
| cpe:2.3:a:koajs:koa:*:*:*:*:*:node.js:*:* | 1.0.0 (incluyendo) | 1.7.1 (excluyendo) |
| cpe:2.3:a:koajs:koa:*:*:*:*:*:node.js:*:* | 2.0.0 (incluyendo) | 2.15.4 (excluyendo) |
| cpe:2.3:a:koajs:koa:3.0.0:alpha0:*:*:*:node.js:*:* | ||
| cpe:2.3:a:koajs:koa:3.0.0:alpha1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:koajs:koa:3.0.0:alpha2:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/koajs/koa/blob/master/lib/request.js#L259
- https://github.com/koajs/koa/blob/master/lib/request.js#L404
- https://github.com/koajs/koa/commit/5054af6e31ffd451a4151a1fe144cef6e5d0d83c
- https://github.com/koajs/koa/commit/5f294bb1c7c8d9c61904378d250439a321bffd32
- https://github.com/koajs/koa/commit/93fe903fc966635a991bcf890cfc3427d33a1a08
- https://github.com/koajs/koa/releases/tag/2.15.4
- https://github.com/koajs/koa/security/advisories/GHSA-593f-38f6-jp5m