关键漏洞信息 漏洞概述 漏洞标题: On Node.js < 3, pbkdf2 silently disregards Uint8Array input, returning static keys 严重性: Critical (9.1/10) CVE ID: CVE-2023-6547 CVSS v4 基本指标: - 攻击向量: Network - 攻击复杂度: High - 攻击需求: Present - 特权要求: None - 用户交互: None - 机密性影响: None - 完整性影响: High - 可用性影响: None 影响版本与修复版本 受影响版本: <=3.1.2 已修复版本: 3.1.3 描述 摘要: 在历史但声明为支持的 Node.js 版本(0.12-2.x)中,pbkdf2 静默忽略 Uint8Array 输入,返回静态密钥。这仅影响 Node.js < 3.0.0。 详细信息: 错误出现在 方法中。此漏洞甚至影响了测试。 证明概念 (PoC) 影响 静态哈希被输出并用作密钥/密码会完全破坏安全性。 不建议在任何地方使用这些 Node.js 版本,建议直接放弃它们。 弱点 CVE-20: 缓冲区错误 贡献者 报告者: ChAlkeR 修复开发者: ljharb