关键漏洞信息 漏洞概述 漏洞ID: GHSA-95m3-7q98-8xr5 CVE ID: CVE-2025-9288 严重性: Critical (9.1/10) 受影响版本: <=2.4.11 修复版本: 2.4.12 漏洞描述 问题: 缺少类型检查导致哈希回退和传递伪造数据。 原因: 输入类型检查缺失,导致计算无效值、挂起、哈希状态回退(包括将标记哈希转换为未标记哈希)在恶意JSON-stringifyable输入上。 影响 1. 哈希状态回退( ),攻击者可以将加密库中的标记哈希转换为未标记哈希。 2. 值误算,例如通过 生成碰撞。 3. DoS 攻击( )。 4. 在后续系统中,(2) 可能导致匹配哈希但数值表示不同的问题,引发私钥提取等问题。 PoC 示例 输出示例 报告人 报告人: ChALkeR