前言
Node.js 官方在 2026 年 1 月 13 日更新修复了多个严重安全漏洞,涉及缓冲区泄露、权限绕过、DoS 攻击等,影响所有活跃版本,建议所有用户尽快升级!
往期精彩推荐
- AudioDock:服务器和 NAS 音频播放最棒的软件!🚀🚀🚀
- pnpm + monorepo 才是 AI 协同开发的最佳方案!🚀🚀🚀
- 尤雨溪强烈推荐的这个库你一定要知道 ⚡️⚡️⚡️
- 更多精彩文章欢迎关注我的公众号:萌萌哒草头将军
正文
本次安全发布主要针对 Node.js 当前所有活跃版本(20.x、22.x、24.x、25.x)发布了补丁,累计修复了 3 个 高危、4 个 中危 和 1 个 低危 严重性的漏洞,
同时更新了核心依赖 c-ares 和 undici。
主要高危漏洞:
- CVE-2025-55131(High)
Timeout 导致的竞态条件,使得 Buffer.alloc / Uint8Array 可能分配到未清零的内存,存在敏感信息泄露风险(密钥、token 等)。需要特定时机或攻击者控制超时行为才能利用,但危害极大。
- CVE-2025-55130(High)
使用精心构造的相对路径符号链接,可绕过 --allow-fs-read / --allow-fs-write 权限限制,实现任意文件读写。严重破坏了 Permission Model 的隔离能力。
- CVE-2025-59465(High)
HTTP/2 服务器在收到畸形 HEADERS 帧时会直接抛出未处理的 TLSSocket 错误,导致进程崩溃(远程 DoS)。未加 error 监听的 HTTPS 服务尤其危险。
中危漏洞:
- CVE-2026-21636(Medium):
权限模型下 Unix Domain Socket 未受 --allow-net 限制,可连接任意本地 socket,存在提权风险(仅影响 v25)
- CVE-2025-59466(Medium):
async_hooks 场景下栈溢出错误无法被捕获,直接终止进程(DoS)
- CVE-2026-21637(Medium):
TLS PSK/ALPN 回调中同步异常会绕过错误处理,导致崩溃或 fd 泄漏
低危漏洞
- CVE-2025-55132(Low):
fs.futimes() 可绕过只读权限修改文件时间戳(痕迹清理)。
受影响版本:所有活跃分支 20.x、22.x、24.x、25.x(EOL 版本同样受影响,但官方不再修复)
修复版本:2025 年 12 月 15 日之后发布的最新 20.x / 22.x / 24.x / 25.x 版本
最后
强烈建议生产环境尽快升级到最新版本,同时关注后续的 async_hooks DoS 缓解方案。
今天的分享就这些了,感谢大家的阅读,如果文章中存在错误的地方欢迎指正!
往期精彩推荐
- AudioDock:服务器和 NAS 音频播放最棒的软件!🚀🚀🚀
- pnpm + monorepo 才是 AI 协同开发的最佳方案!🚀🚀🚀
- 尤雨溪强烈推荐的这个库你一定要知道 ⚡️⚡️⚡️
- 更多精彩文章欢迎关注我的公众号:萌萌哒草头将军
