Sicherheitslücke in node-pbkdf2 gefährdet Node.js-Authentifizierung

In der kryptografischen Node.js-Bibliothek node-pbkdf2 wurde eine Schwachstelle (CVE-2025-6545) entdeckt, die es Angreifern ermöglicht, Sicherheitsvorkehrungen ohne besondere Berechtigungen aus der Ferne zu umgehen.

Risikobewertung: Die Schwachstelle wird als mittleres Risiko eingestuft. Da node-pbkdf2 häufig für Passwort-Hashing in Authentifizierungssystemen eingesetzt wird, kann die Lücke in diesem Kontext jedoch kritische Auswirkungen haben – etwa das Umgehen von Login-Mechanismen oder das Aushebeln von Passwortschutz. Die CVE ist sehr neu, belastbare Ausnutzungsstatistiken liegen noch nicht vor.

Was ist zu tun?

  • Prüfen Sie alle Node.js-Projekte auf eine Abhängigkeit von node-pbkdf2 – am einfachsten mit dem Befehl npm audit im jeweiligen Projektverzeichnis.
  • Aktualisieren Sie das Paket umgehend auf die gepatchte Version.
  • Priorisieren Sie Anwendungen, die eine passwortbasierte Authentifizierung nutzen – hier ist das Risiko am höchsten.
  • Führen Sie die Aktualisierung innerhalb von 7 Tagen durch.

Hintergrund: node-pbkdf2 ist eine weit verbreitete Bibliothek, die den PBKDF2-Algorithmus (Password-Based Key Derivation Function 2) in Node.js-Umgebungen implementiert. Sie wird genutzt, um Passwörter sicher zu hashen und zu speichern. Eine Schwachstelle in dieser Komponente betrifft direkt die Integrität von Authentifizierungsprozessen.

Quelle: DFN-CERT Advisory 2026-2749 · Risikostufe: MITTEL · Generiert am 20.06.2026

Tags :

Related Posts

Sicherheitslücken in libheif: Code-Ausführung über präparierte Bilddateien

In der Bildbibliothek libheif wurden mehrere Schwachstellen entdeckt, die unter anderem die Ausführung beliebigen Programmcodes ermöglichen. Betroffen sind Systeme mit Ubuntu 22.04 LTS und Ubuntu 24.04 LTS.

Read More

Linux-Kernel: Kritische Schwachstellen ermöglichen Remote-Code-Ausführung

Im Linux-Kernel wurden mehrere Sicherheitslücken entdeckt, die unter anderem die Ausführung beliebigen Programmcodes aus der Ferne ermöglichen. Betroffen sind Linux-basierte Server- und Netzwerksysteme, insbesondere SLES 15 und Ubuntu-Installationen.

Read More

Drupal: Kritische Schwachstellen ermöglichen Remote Code Execution

Im weit verbreiteten Content-Management-System Drupal wurden mehrere Sicherheitslücken entdeckt, die unter anderem die Ausführung beliebigen Programmcodes aus der Ferne ermöglichen. Betroffen sind Linux-basierte Server-Umgebungen, in denen Drupal als Entwicklungs- oder Produktivsystem betrieben wird.

Read More