sha.js 是 JavaScript 生態(tài)里最常用的輕量級加密庫。

它由 Browserify 社區(qū)維護，體積不足 20 KB，卻實現(xiàn)了 SHA-1、SHA-224、SHA-256、SHA-384、SHA-512 全系列算法，是 crypto-browserify、webpack、web3.js 等數(shù)百個流行包的“根依賴”。

而就在前幾天，美國 NVD（國家漏洞庫）正式發(fā)布 CVE-2025-9288，指向 JavaScript 加密庫 sha.js。

事件概述

美國 NVD（國家漏洞庫）正式發(fā)布 CVE-2025-9288

指向 JavaScript 加密庫 sha.js。該漏洞被評定為 嚴重級（CVSS 9.1），影響 每周 1 400 萬次下載 的 Node.js 與瀏覽器端項目，堪稱 2025 年波及面最廣的前端供應鏈事件之一。

• 官方修復版本：sha.js 2.4.12（已推送 npm）
• 受影響版本：≤2.4.11
• 發(fā)現(xiàn)與披露：GitHub Advisory + FreeBuf 首發(fā)技術(shù)長文

漏洞原理 30 秒速讀

sha.js 在處理輸入時 未校驗數(shù)據(jù)類型與長度，攻擊者通過構(gòu)造畸形對象：

{ length: -1 }

即可觸發(fā)：

• 哈希降級 / 碰撞：相同摘要對應不同數(shù)據(jù)
• DoS 無限循環(huán)：CPU 被瞬間打滿
• 私鑰恢復：若哈希結(jié)果作為隨機數(shù) nonce，可反向推導私鑰

波及面：35 個庫 / 框架 / 工具鏈

我們綜合 NVD、GitHub Advisory、npm 依賴樹 以及 主流安全媒體 的交叉驗證，整理出 35 條 確認受影響的庫與場景.

覆蓋 Web3、前端、Node 服務(wù)、桌面與移動開發(fā)全鏈路。

★15 個高頻直接依賴庫

20 個間接或場景級受影響庫 / 框架 / 工具鏈

30 秒自查清單

# 1. 查看本機 / CI 是否存在舊版本
npm ls sha.js

# 2. 全局搜索 lock 文件
grep -E 'sha\.js@2\.4\.(1[0-1]|[0-9])' package-lock.json yarn.lock pnpm-lock.yaml

# 3. 使用 SCA 工具（推薦）
npx audit-ci --moderate

一鍵修復方案（復制即用）

# 升級到官方修復版
npm install sha.js@2.4.12 --save-exact

# 自動修復所有依賴鏈
npm audit fix --force

# 重新構(gòu)建并測試
npm run build

臨時緩解（無法立即升級時）：在調(diào)用 sha.js 前加入類型校驗，僅允許 string 或 Buffer 類型輸入。

官方參考鏈接：

• NVD 詳情：https://nvd.nist.gov/vuln/detail/CVE-2025-9288
• GitHub Advisory：https://github.com/browserify/sha.js/security/advisories/GHSA-95m3-7q98-8xr5
• FreeBuf 深度分析：https://www.freebuf.com/articles/web/445352.html