Node.js 20.x < 20.20.0 / 22.x < 22.22.0 / 24.x < 24.13.0 / 24.x < 24.13.0 / 25.x < 25.3.0 多个漏洞(2026 年 1 月 13 日星期二安全版本)。
medium Nessus 插件 ID 282656
语言:
简介
Node.js - JavaScript 运行环境受到多个漏洞的影响。描述
远程主机上安装的 Node.js 版本低于 20.20.0、22.22.0、24.13.0、24.13.0、25.3.0。 因此,它受到 2026 年 1 月 13 日星期二安全版本公告中提及的多个漏洞影响。- Node.js 权限模型中的缺陷允许通过 futimes() 更改文件的访问和修改时间戳,即使在进程只有读取权限时也是如此。与 utimes() 不同,futimes() 不会应用预期的写入权限检查,这表示可在只读目录中修改文件元数据。可利用此行为以隐藏活动的方式更改时间戳,从而降低日志的可靠性 (CVE-2025-55132)
- 使用带超时选项的 vm 模块时,若分配过程中断,Node.js 缓冲区分配逻辑中的缺陷可能导致未初始化内存泄露。在特定时序条件下,通过 Buffer.alloc 和其他 TypedArray 实例(如 Uint8Array)分配的缓冲区可能包含之前操作残留的数据,此漏洞可导致进程内机密信息(如令牌或密码)泄露或数据损坏。要成功利用此漏洞,攻击者通常需要精确控制时序,或能在进程内执行代码,但若攻击者能通过不受信任的输入来影响工作负载或超时机制,则该漏洞可能升级为远程可利用状态,从而对数据的机密性和完整性构成潜在威胁。影响:感谢 Nikita Skovoroda 报告并修复此漏洞。(CVE-2025-55131)
- Node.js 的权限模型存在缺陷,使攻击者能够利用恶意构建的相对符号链接路径绕过 --allow-fs-read 和 --allow-fs-write 限制。通过串联目录和符号链接,仅拥有当前目录访问权限的脚本可以转义预设路径,从而读取敏感文件。此问题破坏了既定的隔离防护机制,使攻击者能够执行任意文件读取/写入操作,从而造成潜在的系统失陷风险。影响:感谢 natann 报告此漏洞,同时感谢 RafaelGSS 修复此漏洞。(CVE-2025-55130)
- 包含过大、无效 HPACK 数据的畸形 HTTP/2 HEADERS 帧可能触发未处理的 TLSSocket 错误 ECONNRESET,从而造成 Node.js 崩溃。进程未能安全终止连接,而是发生崩溃,使攻击者得以实施远程拒绝服务攻击。该问题主要影响未将明确错误处理程序附加至安全套接字的应用程序,例如:server.on('secureConnection', socket => {socket.on('error', err => { console.log(err); } ); }); JavaScript复制到剪贴板 影响:感谢 dantt 报告此漏洞,同时感谢 RafaelGSS 修复此漏洞。(CVE-2025-59465)
- 我们发现 Node.js 错误处理机制中存在一个缺陷:当 async_hooks.createHook() 启用时,系统无法捕获“超出调用堆栈大小上限”错误。进程不会到达 process.on('uncaughtException'),而是直接终止,造成不可恢复的崩溃。在特定条件下,依赖 AsyncLocalStorage(v22、v20)或 async_hooks.createHook()(v24、v22、v20)的应用程序可能因深度递归造成不可恢复的进程崩溃,从而引发拒绝服务攻击。此补丁仅针对某一极端情况改善了系统的可恢复性,但更普遍的风险仍然存在。空间耗尽后的恢复机制缺乏明确规范,仅属于尽力而为的处理方式,无法作为可用性或安全性的可靠依据。在对可用性具有关键影响的路径中,若递归深度可能受到不受信任的输入影响,应优先实施输入验证,并采用能限制或避免递归的设计,而不应依赖运行时/引擎的堆栈空间耗尽行为或尾调用优化缺失作为防护手段。有关详细信息,请参阅此博客文章。影响:感谢 Andrew MacPherson (AndrewMohawk) 识别此漏洞,感谢 aaron_vercel 报告此漏洞,同时也感谢 mcollina 修复此漏洞。
(CVE-2025-59466)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Node.js 20.20.0 / 22.22.0 / 24.13.0 / 24.13.0 / 25.3.0 或更高版本。另见
插件详情
严重性: Medium
ID: 282656
文件名: nodejs_2026_jan_13.nasl
版本: 1.5
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/1/13
最近更新时间: 2026/2/17
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2026-21636
CVSS v3
风险因素: Critical
基本分数: 10
时间分数: 9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 4.8
Threat Score: 1.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
漏洞信息
CPE: cpe:/a:nodejs:node.js
必需的 KB 项: installed_sw/Node.js
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/1/13
漏洞发布日期: 2026/1/13
参考资料信息
CVE: CVE-2025-55130, CVE-2025-55131, CVE-2025-55132, CVE-2025-59464, CVE-2025-59465, CVE-2025-59466, CVE-2026-21636, CVE-2026-21637
IAVB: 2026-B-0013