漏洞信息(CVE-2025-32996)

一、漏洞 CVE-2025-32996 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

## 漏洞描述 ### 概述在 `http-proxy-middleware` 的某些版本中，由于未使用 `else if`，导致 `writeBody` 可以被调用两次。 ### 影响版本 - 2.x 系列：2.0.8 之前的所有版本 - 3.x 系列：3.0.4 之前的所有版本 ### 细节在代码逻辑中，由于遗漏了 `else if`，导致两个条件分支都可以执行 `writeBody` 方法。这可能会引起数据重复写入或其他未定义行为。 ### 影响 - 数据可能被不正确地多次写入。 - 可能会影响应用程序的正常运行和数据一致性。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

双重释放

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

In http-proxy-middleware before 2.0.8 and 3.x before 3.0.4, writeBody can be called twice because "else if" is not used.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

控制流实现总是不正确

来源：美国国家漏洞数据库 NVD

漏洞标题

http-proxy-middleware 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

http-proxy-middleware是Steven Chim个人开发者的一个用于 connect、express、next.js 等的 Node.js http 代理中间件。 http-proxy-middleware 2.0.8之前版本和3.0.4之前版本存在安全漏洞，该漏洞源于writeBody可能被调用两次。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-32996 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-32996 的情报信息

标题： fix(fixRequestBody): prevent multiple .write() calls (#1089) · chimurai/http-proxy-middleware@0209760 · GitHub -- 🔗来源链接

标签：
标题： fix(fixRequestBody): prevent multiple .write() calls by chimurai · Pull Request #1089 · chimurai/http-proxy-middleware · GitHub -- 🔗来源链接

标签：
标题： Release v2.0.8 · chimurai/http-proxy-middleware · GitHub -- 🔗来源链接

标签：
标题： Release v3.0.4 · chimurai/http-proxy-middleware · GitHub -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2025-32996