CVE-2025-64767 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:`hpke-js` 库的 `SenderContext Seal` API 存在**竞争条件**。 💥 **后果**:加密消息的**机密性**和**完整性**可能丧失,数据不再安全。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-323 (操作一次,多次使用)。 📍 **缺陷点**:在并发或特定时序下,发送上下文状态管理出错,导致加密逻辑被绕过或破坏。
Q3影响谁?(版本/组件)
📦 **组件**:`hpke-js` (混合公钥加密模块)。 👤 **开发者**:Ajitomi Daisuke (dajiaji)。 📉 **受影响版本**:**1.7.5 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **解密**:窃取加密通信内容(机密性丧失)。 2. **篡改**:可能破坏消息完整性,导致接收方验证失败或处理错误数据。
Q5利用门槛高吗?(认证/配置)
📶 **利用门槛**:**低**。 🔑 **条件**: - 网络访问 (AV:N) - 无需认证 (PR:N) - 无需用户交互 (UI:N) - 攻击复杂度低 (AC:L)
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp/PoC**:当前数据中 **无** 现成 PoC 或公开在野利用报告。 ⚠️ 但鉴于 CVSS 评分高,技术门槛低,**存在被快速利用的风险**。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查项目依赖 `package.json`。 2. 确认 `hpke-js` 版本号是否 **< 1.7.5**。 3. 扫描代码中是否直接调用了 `SenderContext` 的 `Seal` 方法。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已修复**。 📅 **披露时间**:2025-11-21。 🔗 **修复链接**:GitHub Advisory (GHSA-73g8-5h73-26h4) 及对应 Commit。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **升级**:立即升级至 **1.7.5 或更高版本**。 2. **隔离**:若无法升级,限制该库的网络访问权限,避免处理敏感数据。 3. **监控**:加强日志审计,关注加密通信异常。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 💡 **建议**:CVSS 3.1 评分极高 (C:H, I:H),且无需认证即可利用。建议 **立即升级** 依赖库,消除安全隐患。