Node.js 20.x < 20.20.0 / 22.x < 22.22.0 / 24.x < 24.13.0 / 25.x < 25.3.0 / 25.x < 25.3.0 多個弱點 (2026 年 1 月 13 日星期二 安全性版本)。
high Nessus Plugin ID 282656
語言:
概要
Node.js - JavaScript 執行階段環境受到多個弱點影響。說明
遠端主機上安裝的 Node.js 版本早於 20.20.0、22.22.0、24.13.0、25.3.0、25.3.0。因此會受到 2026 年 1 月 13 日星期二安全性版本公告中所提及的多個弱點影響。- 含有過大、無效 HPACK 資料的格式錯誤 HTTP/2 HEADERS 框架可透過觸發未處理的 TLSSocket 錯誤 ECONNRESET 造成 Node.js 損毀。處理程序不會安全地關閉連線而是會損毀進而導致遠端拒絕服務。這主要會影響不會將明確錯誤處置程式附加到安全通訊端的應用程式例如server.on('secureConnection', socket => {socket.on('error', err => { console.log(err); } ); }) JavaScript複製到剪貼簿影響:感謝 dantt 報告此弱點並感謝 RafaelGSS 修正該弱點。 (CVE-2025-59465)
- 使用具有逾時選項的 vm 模組時Node.js 緩衝區配置邏輯中的一個缺陷可在配置中斷時暴露未初始化的記憶體。在特定定時條件下以 Buffer.alloc 和其他 TypedArray 執行個體 (如 Uint8Array) 配置的緩衝區可能包含來自先前作業的剩餘資料這會允許 token 或密碼等處理程序中的密碼洩漏或造成資料損毀。雖然惡意利用通常需要精確的計時或處理程序內程式碼執行但當不受信任的輸入影響工作負載和逾時時其可從遠端遭到惡意利用進而導致潛在的機密性和完整性影響。影響:感謝 Nikita Skovoroda 報告並修正此弱點。 (CVE-2025-55131)
- Node.js 的權限模型中有一個瑕疵允許攻擊者使用特製的相對符號連結路徑繞過 --allow-fs-read 和 --allow-fs-write 限制。透過鏈結目錄和符號連結只被授予目前目錄存取權的指令碼可以逸出允許的路徑並讀取敏感檔案。這會破壞預期的隔離保證並啟用任意檔案讀取/寫入進而導致可能的系統入侵。影響:感謝 natann 報告此弱點並感謝 RafaelGSS 修正該弱點。 (CVE-2025-55130)
- 我們在 Node.js 錯誤處理中發現一個錯誤其中在啟用 async_hooks.createHook() 時超出最大呼叫堆疊大小錯誤變得無法擷取。處理程序未達到 process.on('uncaughtException') 而是終止進而使損毀無法復原。依賴 AsyncLocalStorage (v22、v20) 或 async_hooks.createHook() (v24、v22、v20) 的應用程式容易受到特定情況下深度遞回所觸發的拒絕服務當機。影響:感謝 Andrew MacPherson (AndrewMohawk) 識別及 aaron_vercel 報告此弱點並感謝 mcollina 修正該弱點。
(CVE-2025-59466)
- 在未釋放已配置緩衝區的情況下將 X.509 憑證欄位轉換為 UTF-8 時Node.js 的 OpenSSL 整合中發生一個記憶體洩漏問題。當應用程式呼叫 socket.getPeerCertificate(true) 時每個憑證欄位都會洩漏記憶體允許遠端用戶端透過重複的 TLS 連線觸發穩定的記憶體增長。久而久之這會導致資源耗盡和拒絕服務。影響:感謝 huge_anteater 報告此弱點並感謝 RafaelGSS 修正該弱點。 (CVE-2025-59464)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Node.js 20.20.0 / 22.22.0 / 24.13.0 / 25.3.0 / 25.3.0 版本或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 282656
檔案名稱: nodejs_2026_jan_13.nasl
版本: 1.1
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/1/13
已更新: 2026/1/13
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2025-59465
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:nodejs:node.js
必要的 KB 項目: installed_sw/Node.js
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/1/13
弱點發布日期: 2026/1/13
參考資訊
CVE: CVE-2025-55130, CVE-2025-55131, CVE-2025-55132, CVE-2025-59464, CVE-2025-59465, CVE-2025-59466, CVE-2026-21636, CVE-2026-21637