Milyonlarca uygulamayı, kriptografik işlemleri tehlikeye atabilecek ve hassas sistemlere yetkisiz erişimi sağlayabilecek sofistike karma manipülasyon saldırılarına maruz bırakarak, yaygın olarak kullanılan SHA.js NPM paketinde kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-9288 olarak adlandırılan güvenlik açığı, JavaScript ekosisteminde 14 milyondan fazla indirme biriktiren kütüphanenin 2.4.11’e kadar tüm sürümlerini etkiler.
Güvenlik açığı detayları ve saldırı vektörleri
Güvenlik kusuru, SHA.js kütüphanesinin karma hesaplama mekanizması içindeki eksik giriş türü doğrulamasından kaynaklanarak, saldırganların dikkatle hazırlanmış JSON ile gerilebilen giriş yoluyla karma durumları manipüle etmesine izin verir.
| CVE Detayları | Bilgi |
| CVE kimliği | CVE-2025-9288 |
| Şiddet | Eleştirel |
| CVSS V4 Puanı | CVSS: 4.0/AV: N/AC: H/AT: P/PR: N/UI: N/VC: N/VI: H/VA: H/SC: H/SI: H/SA: N |
| Etkilenen Paket | Sha.js (NPM) |
| Etkilenen sürümler | ≤2.4.11 |
Güvenlik araştırmacısı Chalker, kötü niyetli aktörlerin karma durumları geri sarmak için bu zayıflığı kullanabileceğini, etiketli karmaları etiketsiz varyantlara dönüştürebileceğini ve güvenlik kontrollerini atlayan karma çarpışmalar üretebileceğini keşfetti.
Güvenlik açığı üç temel saldırı senaryosunda kendini gösterir. Birincisi, saldırganlar negatif uzunluk özelliklerine sahip nesneleri kullanarak karma durum geri sarma tetikleyebilir ve kriptografik durumu etkili bir şekilde önceki değerlere geri döndürebilir.
İkincisi, kusur, özel olarak hazırlanmış nesnelerin farklı giriş verileri için aynı karma çıkışlar üretebileceği ve tehlikeli çarpışma senaryoları oluşturabileceği değer yanlış hesaplama saldırılarını sağlar.
Üçüncüsü, güvenlik açığı, kütüphanenin süresiz olarak asmasına neden olan hatalı uzunluk değerleri sağlayarak hizmet reddi saldırılarına izin verir.
Güvenlik açığı, hem savunmasız hem de sonraki sistemler üzerindeki ciddi potansiyel etkisini yansıtan kritik bir CVSS V4 taban skoruna atanmıştır.
Saldırı vektörü, yüksek karmaşıklık gereksinimlerine sahip ağ bağlantıları üzerinde çalışır, ancak kullanıcı etkileşimi yoktur, bu da otomatik sömürü senaryoları için özellikle tehlikeli hale getirir.
SHA.JS koruyucuları, tanımlanan saldırı vektörlerini önlemek için kapsamlı giriş türü doğrulaması içeren 2.4.12 sürümündeki güvenlik açığını ele almıştır.
Etkilenen kütüphaneyi kullanan kuruluşlar hemen yamalı versiyona güncellemeli ve kötü niyetli karma manipülasyon girişimlerine maruz kalmış sistemlerin kapsamlı güvenlik değerlendirmelerini yapmalıdır.
Keşif, kriptografik kütüphanelerde sağlam giriş validasyonunun kritik öneminin altını çiziyor ve yaygın olarak kabul edilen açık kaynaklı bileşenlerde görünüşte küçük uygulama gözetimlerinden ortaya çıkabilecek basamaklı güvenlik risklerini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!