CVE-2026-41988 CVSS 3.2 低危

CVE-2026-41988 uuid库意外写入漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41988

漏洞类型

内存写入错误

CVSS评分

3.2 低危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

uuid

漏洞概述

uuid库是Node.js环境中广泛使用的用于生成通用唯一识别码的组件。在14.0.0之前的版本中存在一个安全漏洞，当应用程序使用外部输出缓冲区来生成特定版本（3、5或6）的UUID时，由于边界检查逻辑存在缺陷，可能会导致意外的内存写入行为。需要注意的是，最常用的UUID版本4并不受此问题影响。该漏洞的CVSS评分为3.2，属于低危级别，攻击者需要本地访问权限且利用复杂度较高，主要威胁系统的数据完整性。

技术细节

该漏洞的根源在于uuid库在处理特定版本UUID生成时，对外部输出缓冲区的管理存在逻辑疏漏。具体而言，当开发者利用该库生成版本3、5或6的UUID，并提供外部Buffer作为存储容器时，库内部未能严格校验写入操作的长度限制或边界条件。这种缺陷使得程序可能执行越界写入，覆盖缓冲区相邻的内存空间。尽管该漏洞的CVSS评分为3.2（低危），且要求攻击者具有本地访问权限（AV:L）和高攻击复杂度（AC:H），但一旦被利用，将直接威胁数据的完整性（I:L）。由于不涉及信息泄露或服务拒绝，其危害主要集中在导致应用程序崩溃或逻辑异常。官方已在14.0.0版本中修复了此问题，通过加强边界检查来防止意外写入。

攻击链分析

STEP 1

侦察

攻击者确认目标应用使用了uuid库版本小于14.0.0，并检测到代码中使用了外部缓冲区生成v3、v5或v6版本的UUID。

STEP 2

本地访问

攻击者获取目标系统的本地访问权限，以满足攻击向量（AV:L）的要求。

STEP 3

执行利用

攻击者执行恶意代码或脚本，调用存在漏洞的UUID生成函数，并精心构造输入参数。

STEP 4

意外写入

uuid库在处理外部缓冲区时发生越界写入，导致内存数据被意外修改，影响系统完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

const { v3: uuidv3 } = require('uuid');

// Vulnerable scenario: using an external buffer with version 3, 5, or 6
// Create a buffer to simulate the output target
const buffer = Buffer.alloc(16);
try {
    // Define namespace and name for v3 generation
    const MY_NAMESPACE = '1b671a64-40d5-491e-99b0-da01ff1f3341';
    const name = 'example.com';
    
    // Trigger the vulnerable function
    // In uuid < 14.0.0, passing an external buffer for v3/v5/v6
    // may lead to unexpected memory writes.
    const id = uuidv3(name, MY_NAMESPACE, buffer);
    console.log('Generated UUID:', id);
} catch (e) {
    console.error('Potential crash or error:', e);
}

影响范围

uuid < 14.0.0

防御指南

临时缓解措施

在无法立即升级的情况下，应避免在生成UUID版本3、5或6时使用外部输出缓冲区参数。如果业务逻辑允许，改用不受影响的UUID版本4进行替代，以规避该风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表