CVE-2025-9288

Nome do Software Vulnerável e Versões Afetadas Versões do sha.js até a 2.4.11

Descrição Existe uma vulnerabilidade de validação inadequada de entrada no sha.js, permitindo a manipulação de dados de entrada. Esta falha pode levar a colisões de hash e, potencialmente, à extração de chave privada, ameaçando aplicações web. A vulnerabilidade decorre da falta de verificações de tipo de entrada, que permitem o uso de tipos de dados diferentes do esperado, resultando em comportamento indefinido, incluindo o retrocesso do estado do hash e o potencial de transformar hashes com tag em hashes sem tag. A exploração pode envolver a manipulação da propriedade de comprimento dos dados de entrada para gerar colisões ou causar condições de negação de serviço.

Recomendações Atualize o sha.js para a versão 2.4.12 ou posterior.