检测

Node.js 20.x < 20.20.0 / 22.x < 22.22.0 / 24.x < 24.13.0 / 25.x < 25.3.0 / 25.x < 25.3.0 多个漏洞2026 年 1 月 13 日星期二安全版本。

high Nessus 插件 ID 282656

语言:

简介

Node.js - JavaScript 运行环境受到多个漏洞的影响。

描述

远程主机上安装的 Node.js 版本低于 20.20.0、22.22.0、24.13.0、25.3.0、25.3.0。 因此如 2026 年 1 月 13 日星期二安全版本公告所述受到多个漏洞的影响。

 - 包含过大无效 HPACK 数据的畸形 HTTP/2 HEADERS 框架可通过触发一个未处理的 TLSSocket 错误 ECONNRESET 来造成 Node.js 崩溃。进程非但没有安全关闭连接,反而崩溃了,造成远程拒绝服务。这主要影响到的应用程序没有附加明确的错误处理程序以保护套接字例如 server.on('secureConnection', socket => {socket.on('error', err => { console.log(err); } ); }); JavaScriptCopy 到剪贴板 影响感谢 dantt 报告此漏洞同时感谢 RafaelGSS 修复此漏洞。 (CVE-2025-59465)

 - Node.js 缓冲区分配逻辑中的缺陷可在使用带超时选项的 vm 模块时分配中断时暴露未初始化的内存。在特定的时间条件下使用 Buffer.alloc 和其他 TypedArray 实例例如 Uint8Array 分配的缓冲区可能包含之前操作的剩余数据从而允许标记或密码等进程内密钥泄漏或造成数据损坏。尽管漏洞利用通常需要精确定时或需要进程内代码执行,但当不受信任的输入影响工作负载和超时时,该漏洞也可能被远程利用,从而导致潜在的机密性和完整性影响。影响感谢 Nikita Skovoroda 报告并修复此漏洞。 (CVE-2025-55131)

 - Node.js 的权限模型中的缺陷允许攻击者使用构建的相对符号链接路径绕过 --allow-fs-read 和 --allow-fs-write 限制。通过链接目录和符号链接仅允许访问当前目录的脚本可转义允许的路径并读取敏感文件。这会破坏预期的隔离保证并启用任意文件读取/写入从而可能导致系统受损。影响感谢 natann 报告此漏洞并感谢 RafaelGSS 修复此漏洞。 (CVE-2025-55130)

 - 我们在 Node.js 错误处理中发现了一个缺陷当启用 async_hooks.createHook() 时无法捕获超出最大调用堆栈大小的错误。进程终止而非到达 process.on('uncaughtException'),从而导致崩溃无法恢复。依赖于 AsyncLocalStorage (v22, v20) 或 async_hooks.createHook() (v24, v22, v20) 的应用程序在特定情况下容易受到深度递归所触发的拒绝服务崩溃的影响。影响感谢 Andrew MacPherson (AndrewMohawk) 发现此漏洞并感谢 aaron_vercel 报告此漏洞并感谢 mcollina 修复该漏洞。
 (CVE-2025-59466)

 - 若在未释放已分配缓冲区的情况下将 X.509 证书字段转换为 UTF-8则 Node.js 的 OpenSSL 集成中会发生内存泄露。应用程序调用 socket.getPeerCertificate(true) 时每个证书字段会泄漏内存从而允许远程客户端通过重复的 TLS 连接触发稳定的内存增长。随着时间的推移这会导致资源耗尽和拒绝服务。影响感谢 huge_antate 报告此漏洞并感谢 RafaelGSS 修复此漏洞。 (CVE-2025-59464)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Node.js 20.20.0 / 22.22.0 / 24.13.0 / 25.3.0 / 25.3.0 或更高版本。

另见

http://www.nessus.org/u?a8cc39ad

插件详情

严重性: High

ID: 282656

文件名: nodejs_2026_jan_13.nasl

版本: 1.1

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2026/1/13

最近更新时间: 2026/1/13

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 分数来源: CVE-2025-59465

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:nodejs:node.js

必需的 KB 项: installed_sw/Node.js

易利用性: No known exploits are available

补丁发布日期: 2026/1/13

漏洞发布日期: 2026/1/13

参考资料信息

CVE: CVE-2025-55130, CVE-2025-55131, CVE-2025-55132, CVE-2025-59464, CVE-2025-59465, CVE-2025-59466, CVE-2026-21636, CVE-2026-21637