Node.js 24.4.1이 V8의 RapidHash 알고리즘의 HashDoS 취약점(CVE-2025-27209)과 Windows 경로 정규화 함수의 디바이스명 우회 취약점(CVE-2025-27210) 2개를 패치

Context

Node.js v24.4.1은 보안 릴리스로, V8 JavaScript 엔진의 새로운 RapidHash 알고리즘에서 발견된 HashDoS 공격 취약점이 존재했다. 또한 Windows 환경에서 path.normalize() 함수가 CON, PRN, AUX 등 예약된 디바이스명을 제대로 검증하지 못해 경로 순회 공격이 가능했다.

Technical Solution

• V8 엔진의 RapidHash 알고리즘 취약점 제거: HashDoS 공격으로 인한 해시 테이블 충돌 악용 방지
• Windows path.normalize() 함수 강화: CON, PRN, AUX 등 디바이스명에 대한 검증 로직 추가하여 경로 정규화 우회 공격 차단
• 보안 릴리스 배포: Windows, macOS, Linux, AIX, ARMv8 등 전 플랫폼에 동일한 보안 패치 적용

Key Takeaway

Node.js의 보안 릴리스는 런타임 수준(V8 엔진)과 OS별 표준 라이브러리(경로 처리) 모두에서 발생 가능한 취약점을 동시에 해결한다는 점에서, 업스트림 의존성과 플랫폼별 차이를 함께 검토하는 다층적 보안 감시의 중요성을 보여준다.