Node.js 存在多个严重安全漏洞!官方建议尽快升级🚀🚀🚀

前言

Node.js 官方在 2026 年 1 月 13 日更新修复了多个严重安全漏洞,涉及缓冲区泄露、权限绕过、DoS 攻击等,影响所有活跃版本,建议所有用户尽快升级!

往期精彩推荐

正文

本次安全发布主要针对 Node.js 当前所有活跃版本(20.x、22.x、24.x、25.x)发布了补丁,累计修复了 3 个 高危4 个 中危1 个 低危 严重性的漏洞,

同时更新了核心依赖 c-ares 和 undici。

主要高危漏洞:

  1. CVE-2025-55131(High)

Timeout 导致的竞态条件,使得 Buffer.alloc / Uint8Array 可能分配到未清零的内存,存在敏感信息泄露风险(密钥、token 等)。需要特定时机或攻击者控制超时行为才能利用,但危害极大。

  1. CVE-2025-55130(High)

使用精心构造的相对路径符号链接,可绕过 --allow-fs-read / --allow-fs-write 权限限制,实现任意文件读写。严重破坏了 Permission Model 的隔离能力。

  1. CVE-2025-59465(High)

HTTP/2 服务器在收到畸形 HEADERS 帧时会直接抛出未处理的 TLSSocket 错误,导致进程崩溃(远程 DoS)。未加 error 监听的 HTTPS 服务尤其危险。

中危漏洞:

  • CVE-2026-21636(Medium):

权限模型下 Unix Domain Socket 未受 --allow-net 限制,可连接任意本地 socket,存在提权风险(仅影响 v25)

  • CVE-2025-59466(Medium):

async_hooks 场景下栈溢出错误无法被捕获,直接终止进程(DoS)

  • CVE-2026-21637(Medium):

TLS PSK/ALPN 回调中同步异常会绕过错误处理,导致崩溃或 fd 泄漏

低危漏洞

  • CVE-2025-55132(Low):

fs.futimes() 可绕过只读权限修改文件时间戳(痕迹清理)。

受影响版本 :所有活跃分支 20.x、22.x、24.x、25.x(EOL 版本同样受影响,但官方不再修复)
修复版本:2025 年 12 月 15 日之后发布的最新 20.x / 22.x / 24.x / 25.x 版本

最后

强烈建议生产环境尽快升级到最新版本,同时关注后续的 async_hooks DoS 缓解方案。

今天的分享就这些了,感谢大家的阅读,如果文章中存在错误的地方欢迎指正!

往期精彩推荐

相关推荐
我是大卫1 分钟前
【图】React源码解析-第四部分:事件与跨层传递
react.js·源码
xiaofeichaichai12 分钟前
Vite原理与Webpack对比
前端·webpack·node.js
张元清38 分钟前
React useReducedMotion Hook:尊重 prefers-reduced-motion(2026)
javascript·react.js
用户298698530143 小时前
前端 Excel 处理进阶:React 中合并与取消合并单元格的实现
前端·javascript·react.js
老王以为3 小时前
Fiber 节点 —— 一个数据结构如何承载整个 React 运行时
前端·react native·react.js
gis开发之家3 小时前
vue3组合式函数(Composables)的艺术——将业务逻辑从UI组件中连根拔起
前端·javascript·vue.js·前端框架·vue3·前端工程化·前端架构
uuai3 小时前
vue导出pdf
前端·vue.js·pdf
mONESY3 小时前
ReAct 智能体循环与 JavaScript 异步并发原理深度解析
react.js
Cobyte4 小时前
17.响应式系统比对:链表如何实现响应式系统的高效更新
前端·javascript·vue.js