Node.jsに高リスクの脆弱性- Windows環境におけるパストラバーサルとV8エンジンのHashDoS再発（CVE-2025-27210,CVE-2025-27209）

2025年7月15日、Node.jsプロジェクトおよびOpenJS Foundationは、Node.jsの複数バージョンに影響を及ぼす2件の高リスク脆弱性に対するセキュリティアップデートを公開しました。 これらの脆弱性は、特にWindowsプラットフォームで動作するバックエンドアプリケーションや、JavaScriptエンジン「V8」を利用するNode.js 24系に深刻な影響を与える恐れがあります。

Windowsデバイス名を悪用したパストラバーサルバイパス（CVE-2025-27210）

Node.jsのファイルパス処理APIであるpath.normalize()およびpath.join()において、Windows特有のデバイス名（CON、PRN、AUXなど）を用いることで、パストラバーサル保護を回避できる問題が報告されました。

この脆弱性は、以前報告されたCVE-2025-23084の不完全な修正が原因とされ、Windows環境でNode.jsアプリケーションを稼働させているユーザーすべてに影響します。

影響範囲：

• Node.js 20.x / 22.x / 24.xの全ユーザー（アクティブサポート中のリリースライン）

V8エンジンにおけるHashDoS（CVE-2025-27209）

Node.js 24系に組み込まれているV8エンジンでは、文字列のハッシュ計算方法がrapidhashに変更されましたが、この変更によりハッシュ衝突を利用したDoS（HashDoS）攻撃の再発が可能となりました。

攻撃者が制御可能な文字列を大量に投げ込むことで、内部のハッシュテーブルに高頻度の衝突を発生させ、リクエスト処理性能を著しく低下させる攻撃が成立します。

なお、V8チームはこれをセキュリティ問題とは見なしていませんが、Node.jsチームは実運用環境への深刻な影響を考慮して「脆弱性」として扱う方針を明確にしています。

影響範囲：

• Node.js 24.xのみ

対応済みバージョン（2025年7月15日公開）

関連記事

LibreOfficeの脆弱性を悪用するPoCが公開（CVE-2024-12425,CVE-2024-12426） 論文の査読者の身元情報が漏洩ーOpenReview大規模情報漏洩に見るAPIセキュリティの死角 Node-SAMLに深刻な認証バイパスの脆弱性(CVE-2025-54369) Docker が重大な認証バイパスの脆弱性を修正(CVE-2024-41110) 100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性（CVE-2025-29774, CVE-2025-29775） Rust PHP Node.js Haskellなど複数のプログラミング言語に影響するWindows環境の引数エスケープ処理に関する脆弱性が発生 Node.js向けのアーカイブ展開ライブラリ「tar-fs」で深刻な脆弱性 CVE-2025-48387 Apache Tomcat、URL書き換え回避など3件の脆弱性を修正-CVE-2025-55752は条件次第でRCEの恐れ SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)

投稿者：三村

セキュリティ製品を手がける上場企業にて、SOC（セキュリティオペレーションセンター）運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)