Node.js’dagi xavfli zaiflik: xakerlar serverlarni masofadan ishdan chiqarishi mumkin

2025-yil may oyida Node.js dasturlash muhitida juda xavfli zaiflik aniqlangani ma’lum qilindi. Bu zaiflikdan foydalanib, yovuz niyatli shaxslar serverlarni masofadan qulatishi, ya’ni xizmatlarni to‘liq to‘xtatib qo‘yishi mumkin. Bu holat millionlab foydalanuvchilarga xizmat ko‘rsatayotgan tizimlar uchun katta xavf tug‘diradi.

Ushbu zaiflik CVE-2025-23166 deb nomlangan bo‘lib, Node.js’dagi kriptografik (shifrlash bilan bog‘liq) funksiyalar noto‘g‘ri ishlagani sababli yuzaga kelgan. Dastur ichidagi DeriveBits() deb nomlangan funksiyada xatolik bor: agar foydalanuvchi tomonidan yuborilgan ma’lumotlar noto‘g‘ri bo‘lsa, bu fon jarayonida xatolik chaqiradi va Node.js to‘satdan ishlashdan to‘xtaydi.

Oddiy qilib aytganda, hujumchi maxsus so‘rov yuborib, serverni qulatib qo‘yishi mumkin.

Kriptografik amallar – bu xavfsizlikning yuragi. Ular parollarni himoyalaydi, foydalanuvchini tekshiradi, maxfiy ma’lumotlarni shifrlaydi. Endi esa shu jarayon orqali hujumchi butun bir serverni ishdan chiqarishi mumkin.

Bu zaiflik quyidagi barcha Node.js versiyalariga ta’sir qiladi:

  • 20.x
  • 22.x
  • 23.x
  • 24.x

Agar siz yoki tashkilotingiz Node.js’dan foydalansangiz, yangilanishni kechiktirmaslik kerak.

Node.js jamoasi boshqa ba’zi muammolarni ham tuzatdi:

  • CVE-2025-23167 – HTTP sarlavhalarni noto‘g‘ri tahlil qilish (o‘rta xavf)
  • CVE-2025-23165 – xotira oqishi (kichik xavf)

Ammo CVE-2025-23166 eng xavflisi hisoblanadi, chunki u orqali masofadan turib to‘liq hujum amalga oshirilishi mumkin.

Node.js ishlatadigan barcha ishlab chiquvchilar va IT-mutaxassislar quyidagilarni zudlik bilan bajarishi lozim:

✅ Node.js’ni eng so‘nggi, xavfsiz versiyalarga yangilang:

  • 20.19.2 (LTS)
  • 22.15.1 (LTS)
  • 23.11.1 (Current)
  • 24.0.2 (Current)

✅ Rasmiy Node.js xavfsizlik sahifasi orqali yangiliklardan xabardor bo‘lib boring.

nodejs-sec xavfsizlik pochta ro‘yxatiga obuna bo‘ling.

Bugungi kunda Node.js internetdagi ko‘plab xizmatlar, veb-ilovalar va serverlar asosida ishlaydi. Undagi bitta zaiflik esa butun tizimni ishdan chiqarishi mumkin. Shuning uchun har bir dasturchi va tizim administratorining eng muhim vazifasi — xavfsizlikni birinchi o‘ringa qo‘yish va doimiy ravishda yangilanishlarni kuzatib borishdir.

Aks holda, birgina zaiflik – butun biznesingizni to‘xtatib qo‘yishi mumkin.