Vulnerabilidad en libuv y Node.js (CVE-2025-47153)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/05/2025
Última modificación:
02/05/2025
Descripción
Ciertos procesos de compilación para libuv y Node.js en sistemas de 32 bits, como el paquete binario nodejs hasta nodejs_20.19.0+dfsg-2_i386.deb para Debian GNU/Linux, tienen un tamaño de archivo off_t inconsistente (p. ej., al compilar en Debian i386 siempre se usa _FILE_OFFSET_BITS=64 para la biblioteca dinámica libuv, pero se usa el valor predeterminado del sistema global _FILE_OFFSET_BITS de 32 para nodejs), lo que provoca accesos fuera de los límites. NOTA: Esto no es un problema del software Node.js en sí. En particular, la página de descargas del sitio web de Node.js no ofrece Node.js precompilado para Linux en i386.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1076350
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=922075
- https://bugzilla.redhat.com/show_bug.cgi?id=892601
- https://github.com/nodejs/node-v0.x-archive/issues/4549
- http://www.openwall.com/lists/oss-security/2025/05/02/2
- https://lists.debian.org/debian-lts-announce/2025/05/msg00003.html