Το Node.js εξέδωσε κρίσιμες ενημερώσεις ασφαλείας στις ενεργές γραμμές κυκλοφορίας του στις 13 Ιανουαρίου 2026, επιδιορθώνοντας ευπάθειες που θα μπορούσαν να οδηγήσουν σε διαρροές μνήμης, επιθέσεις άρνησης υπηρεσίας και παρακάμψεις αδειών.
Αυτές οι εκδόσεις αντιμετωπίζουν τρία ελαττώματα υψηλής σοβαρότητας, μεταξύ άλλων, ζητώντας άμεσες αναβαθμίσεις για τα επηρεαζόμενα συστήματα.
Υψηλής σοβαρότητας τρωτά σημεία
Ζητήματα υψηλής σοβαρότητας κυριαρχούν σε αυτήν την έκδοση, με το CVE-2025-55131 να αποκαλύπτει την μη αρχικοποιημένη μνήμη στο Buffer.alloc και στο Uint8Array λόγω αγώνων χρονικού ορίου στη μονάδα vm, με πιθανή διαρροή μυστικών όπως μάρκες.
Το CVE-2025-55130 επιτρέπει στις επιθέσεις συμβολικής σύνδεσης να παρακάμπτουν τις σημαίες άδειας συστήματος αρχείων, όπως το –allow-fs-read, επιτρέποντας αυθαίρετη πρόσβαση στα αρχεία. Το CVE-2025-59465 διακόπτει τη λειτουργία των διακομιστών HTTP/2 μέσω πλαισίων HEADERS με κακή μορφή, ενεργοποιώντας μη χειριζόμενα σφάλματα TLSSocket για απομακρυσμένα DoS.
| Αναγνωριστικό CVE | Αυστηρότητα | Περιγραφή Περίληψη | Εκδόσεις που επηρεάζονται | Ρεπόρτερ/Fixer |
|---|---|---|---|---|
| CVE-2025-55131 | Ψηλά | Η φυλή κατανομής buffer εκθέτει προηγούμενα δεδομένα | 20.x,22.x,24.x,25.x | Nikita Skovoroda/RafaelGSS |
| CVE-2025-55130 | Ψηλά | Ο Symlink παρακάμπτει τα δικαιώματα FS | 20.x,22.x,24.x,25.x | natann/RafaelGSS |
| CVE-2025-59465 | Ψηλά | Το λανθασμένο πλαίσιο HTTP/2 προκαλεί σφάλμα διακομιστή | 20.x,22.x,24.x,25.x | dantt/RafaelGSS |
Θέματα μέτριας σοβαρότητας
Τέσσερα μεσαία τρωτά σημεία περιλαμβάνουν το CVE-2025-59466, όπου τα async_hooks καθιστούν τα σφάλματα υπερχείλισης στοίβας ασύλληπτα, παρακάμπτοντας τους χειριστές για DoS. Το CVE-2025-59464 διαρρέει μνήμη στην επεξεργασία πιστοποιητικού πελάτη TLS μέσω μετατροπών OpenSSL UTF-8.
Το CVE-2026-21636 παρακάμπτει τα δικαιώματα δικτύου μέσω των υποδοχών τομέα Unix στο πειραματικό μοντέλο στο v25. Το CVE-2026-21637 επιτρέπει στις επανακλήσεις TLS PSK/ALPN να δημιουργούν εξαιρέσεις που διακόπτουν τη λειτουργία των διακομιστών ή διαρρέουν FD.
| Αναγνωριστικό CVE | Αυστηρότητα | Περιγραφή Περίληψη | Εκδόσεις που επηρεάζονται | Ρεπόρτερ/Fixer |
|---|---|---|---|---|
| CVE-2025-59466 | Μέσον | Ασύλληπτα σφάλματα στοίβας μέσω async_hooks | 20.x,22.x,24.x,25.x | AndrewMacPherson/mcollina |
| CVE-2025-59464 | Μέσον | Διαρροή μνήμης πιστοποιητικού TLS | 20.x,22.x,24.x | γίγαντας_μυρμηγκοφάγος/RafaelGSS |
| CVE-2026-21636 | Μέσον | Το UDS παρακάμπτει τα δικαιώματα του δικτύου | 25.χ | mufeedvh/RafaelGSS |
| CVE-2026-21637 | Μέσον | Οι εξαιρέσεις επανάκλησης TLS προκαλούν διαρροή DoS/FD | Όλα με PSK/ALPN | 0xmaxhax/mcollina |
Διόρθωση χαμηλής σοβαρότητας
Το CVE-2025-55132 επιτρέπει στη fs.futimes() να τροποποιεί τις χρονικές σημάνσεις χωρίς δικαιώματα εγγραφής, υπονομεύοντας την απομόνωση μόνο για ανάγνωση σε μοντέλα αδειών από v20 σε v25.
Οι ενημερώσεις περιλαμβάνουν c-ares 1.34.6 και undici (6.23.0 ή 7.18.0) για την αντιμετώπιση ευπαθειών του κοινού. Οι νέες εκδόσεις περιλαμβάνουν Node.js 20.20.0, 22.22.0, 24.13.0 και 25.3.0, που διατίθενται μέσω τυπικών καναλιών.
Node.js προτρέπει τους χρήστες για να δώσετε προτεραιότητα στις αναβαθμίσεις, ειδικά για διακομιστές HTTP/2 παραγωγής και περιβάλλοντα με δυνατότητα άδειας, καθώς οι κλάδοι στο τέλος της ζωής τους παραμένουν εκτεθειμένοι.
Η ομάδα του Node.js πιστώνει πολλούς ερευνητές για τις αποκαλύψεις, δίνοντας έμφαση στη συνεργασία της κοινότητας για την ασφάλεια του οικοσυστήματος. Πολλαπλές αναβολές εξασφάλισαν διεξοδικές δοκιμές πριν από τη σημερινή κυκλοφορία.
