偵測

Node.js 20.x < 20.20.0 / 22.x < 22.22.0 / 24.x < 24.13.0 / 24.x < 24.13.0 / 25.x < 25.3.0 多個弱點 (2026 年 1 月 13 日星期二安全性版本)。

medium Nessus Plugin ID 282656

語言:

概要

Node.js - JavaScript 執行階段環境受到多個弱點影響。

說明

遠端主機上安裝的 Node.js 版本早於 20.20.0、22.22.0、24.13.0、24.13.0、25.3.0。因此,會受到 2026 年 1 月 13 日星期二安全性版本公告中提及的多個弱點影響。

 - Node.js 的權限模型中有一個缺陷,允許透過 futimes() 變更檔案的存取和修改時間戳記,即使處理程序只有讀取權限也是如此。與 utimes() 不同,futimes() 不會套用預期的寫入權限檢查,這表示可在唯讀目錄中修改檔案詮釋資料。此行為可用來以模糊活動的方式變更時間戳記,進而降低記錄的可靠性 (CVE-2025-55132)

 - 使用具有逾時選項的 vm 模組時,Node.js 緩衝區配置邏輯中的一個缺陷,會在配置中斷時使未初始化記憶體曝險。在特定計時情況下,以 Buffer.alloc 和其他 TypedArray 執行個體 (如 Uint8Array) 配置的緩衝區可能含有來自先前作業的剩餘資料,進而允許權杖或密鑰等處理程序中的密碼洩漏或造成資料損毀。雖然刺探利用通常需要精確的計時或處理程序內程式碼執行,但當不受信任的輸入影響工作負載和逾時,便可從遠端刺探利用,進而導致潛在的機密性和完整性影響。影響:感謝 Nikita Skovoroda 報告並修正此弱點。(CVE-2025-55131)

 - Node.js 的特權模型中有一個缺陷,允許攻擊者使用特製的相對符號連結路徑繞過 --allow-fs-read 和 --allow-fs-write 限制。藉由鏈結目錄和符號連結,僅獲授予目前目錄存取權的指令碼可逸出允許的路徑並讀取敏感檔案。這會破壞預期的隔離保證,並啟用任意檔案讀取/寫入,進而導致潛在的系統入侵。影響:感謝 newtmitch 報告此弱點,同時感謝 RafaelGSS 進行修復。(CVE-2025-55130)

 - 包含過大、無效 HPACK 資料的格式錯誤 HTTP/2 HEADERS 框架,可觸發未處理的 TLSSocket 錯誤 ECONNRESET,進而造成 Node.js 損毀。處理程序不會安全關閉連線,而是會損毀,進而導致遠端拒絕服務。這主要會影響未將明確錯誤處置程式附加至安全通訊端的應用程式,例如:server.on('secureConnection', socket => {socket.on('error', err => { console.log(err); }); }); JavaScriptCopy to clipboard 影響:感謝 dantt 回報此弱點,同時感謝 RafaelGSS 進行修復。(CVE-2025-59465)

 - 我們在 Node.js 錯誤處理中發現一個錯誤,其中在啟用 async_hooks.createHook() 時,超過最大呼叫堆疊大小錯誤會變成無法擷取。處理程序並未到達 process.on('uncaughtException'),而會終止,進而使損毀無法復原。依賴 AsyncLocalStorage (v22、v20) 或 async_hooks.createHook() (v24、v22、v20) 的應用程式容易受到特定情況下深度遞回所觸發的拒絕服務損毀影響。此修補程式可改善一個邊緣案例的可複原性,但未移除更大的風險。從空間耗盡狀態中恢復的行為未有明確規範,屬於盡力而為,因此不能作為可用性或安全性的可靠基礎。在遞回深度可能受到未受信任輸入影響的可用性關鍵路徑中,偏好輸入驗證和可限製或避免遞回的設計,而非依賴堆疊空間耗盡行為或執行階段/引擎中缺少尾端呼叫最佳化的設計。如需詳細資訊,請參閱此部落格貼文。影響:感謝 Andrew MacPherson (AndrewMohawk) 發現、aaron_vercel 報告此弱點,同時感謝 mcollina 進行修復。
 (CVE-2025-59466)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Node.js 20.20.0 / 22.22.0 / 24.13.0 / 24.13.0 / 25.3.0 版本或更新版本。

另請參閱

http://www.nessus.org/u?a8cc39ad

Plugin 詳細資訊

嚴重性: Medium

ID: 282656

檔案名稱: nodejs_2026_jan_13.nasl

版本: 1.4

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2026/1/13

已更新: 2026/1/19

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: Low

基本分數: 2.1

時間性分數: 1.6

媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2025-59465

CVSS v3

風險因素: Low

基本分數: 3.3

時間性分數: 2.9

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

風險因素: Medium

Base Score: 4.8

Threat Score: 1.1

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

弱點資訊

CPE: cpe:/a:nodejs:node.js

必要的 KB 項目: installed_sw/Node.js

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/1/13

弱點發布日期: 2026/1/13

參考資訊

CVE: CVE-2025-55130, CVE-2025-55131, CVE-2025-55132, CVE-2025-59464, CVE-2025-59465, CVE-2025-59466, CVE-2026-21636, CVE-2026-21637

IAVB: 2026-B-0013