文章总结: 维护团队披露Node.jsHTTP客户端undici中四个安全漏洞,该包周下载量达1.33亿次。两个SOCKS5代理漏洞(CVE-2026-6734/9697)可能导致凭据误传或中间人攻击;两个WebSocket漏洞(CVE-2026-12151/9675)可引发拒绝服务。受影响版本涵盖6.17.0至8.1.0,建议升级至v6.27.0/v7.28.0/v8.2.0或v8.5.0修复版本,若无法及时更新可为每个源站使用独立代理缓解风险。 综合评分: 98 文章分类: 漏洞分析,WEB安全,安全工具,漏洞预警,解决方案
四个 undici 漏洞影响周下载量达 1.33 亿次的热门软件包
sec随谈 sec随谈
sec随谈
2026年6月22日 13:34 北京
在小说阅读器读本章
去阅读
概要
维护团队已披露广泛使用的 Node.js HTTP 客户端 undici 中存在的四个安全漏洞。该软件包每周下载量超过 1.33 亿次,因此影响范围极为广泛。其中两个漏洞可导致拒绝服务,另外两个则削弱了 SOCKS5 代理的安全性。目前尚未确认存在在野利用行为。
漏洞的重要性
undici 内置于 Node.js 本身并为无数应用程序提供支持。凭借每周 1.33 亿次的下载量,即便是影响范围较窄的漏洞也会波及庞大的用户群体。其中代理漏洞的危害最为严重,可能导致凭据被路由至错误的服务器或破坏 TLS 证书固定,从而为数据泄露和中间人攻击打开大门。将 SOCKS5 代理与多个源站配合使用的应用程序面临最高风险。
攻击原理
第一个代理漏洞 CVE-2026-6734 源于连接池复用问题。当 SOCKS5 代理代理为多个源站服务时,undici 会复用同一个连接池,导致发往源站 B 的请求可能被路由至源站 A,凭据和数据因此到达错误的目标,且 HTTPS 可能静默降级为 HTTP。
第二个代理漏洞 CVE-2026-9697 会在 SOCKS5 连接上丢弃 requestTls 选项,连接随即回退至 Node 的默认信任存储,自定义 CA 证书固定被忽略,任何受公共信任的证书均被接受,从而使中间人读取和篡改攻击成为可能。
两个 WebSocket 漏洞 CVE-2026-12151 和 CVE-2026-9675 则会导致拒绝服务。恶意服务器通过持续发送大量小型或空碎片帧,使每帧均通过验证,但内存无限增长直至进程崩溃。连接至不受信任 WebSocket 端点的应用程序受此影响最为严重。
受影响版本
SOCKS5 漏洞自 undici 7.23.0 版本引入,CVE-2026-6734 影响至 8.1.0 的各版本;碎片计数拒绝服务漏洞影响 6.17.0 及以后的版本;累积碎片拒绝服务漏洞是 8.1.0 特有的回归问题。v6.25.0 系列已提前包含累积检查,不受该回归问题影响。
补丁修复与缓解措施
修复程序现已正式发布,请根据所使用的版本分支升级至 undici v6.27.0、v7.28.0、v8.2.0 或 v8.5.0,其中 v8.5.0 版本涵盖全部四个问题的修复。具体版本对应关系请参阅 GitHub 上的官方 undici 安全公告,也可从 undici npm 页面获取最新版本。目前尚无已确认的公开概念验证代码,但鉴于这些 undici 漏洞的广泛影响,建议尽快完成修复。同时,还需审查传递性依赖项,因为许多库内置了 undici。若暂时无法升级,可为每个源站使用独立的 SOCKS5 代理作为临时缓解措施。
参考链接:
https://github.com/nodejs/undici/security/advisories
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《四个 undici 漏洞影响周下载量达 1.33 亿次的热门软件包》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论