关键信息 漏洞类型: Buffer Overflow 受影响的包: bigint-buffer 受影响版本: >=0.0.0 引入日期: 20 Mar 2023 CVE编号: CVE-2025-3194 CWE编号: CWE-120 严重性评分: 8.7 (高) CVSS评估: 由Snyk的安全团队进行 修复建议: 没有固定的版本,需要手动修复 概述: bigint-buffer是一个Node实用程序,用于将TC39提议的BigInts转换为缓冲区和从缓冲区转换。受影响的版本在toBigIntLE()函数中存在缓冲区溢出漏洞,攻击者可以利用此漏洞使应用程序崩溃。 PoC代码: 参考链接: - Native Node Extension Risks - Vulnerable Code CVSS Base Scores: - 版本: 4.0 - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击需求: 无 - 特权要求: 无 - 用户交互: 无 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 威胁情报: - 利用成熟度: 概念验证 - EPSS: 0.04% (第9百分位) Snyk ID: SNYK-JS-BIGINTBUFFER-3364597 发布日期: 3 Apr 2025 披露日期: 20 Mar 2023 贡献者: Cris Staicu