Node.js Security Release Patches 7 Vulnerabilities Across All Release Lines
2026/01/13 CyberSecurityNews — 2026年1月13日に Node.js が公表したのは、すべてのアクティブなリリース・ラインを対象とするセキュリティ・アップデートであり、メモリ・リーク/サービス拒否攻撃 (DoS) /権限バイパスにつながる可能性のある複数の脆弱性が修正されている。特に深刻度が High の脆弱性は 3 件確認されており、影響を受けるシステムに対しては直ちにアップグレードすることが強く推奨される。
High の脆弱性
今回のリリースでは、深刻度が High の問題が重要な位置を占めている。
- CVE-2025-55131:vm モジュールの実行環境におけるタイムアウト競合により、Buffer.alloc および Uint8Array で初期化されていないメモリが露出し、トークンなどの機密情報が漏洩する可能性がある。
- CVE-2025-55130:シンボリック・リンク攻撃により “–allow-fs-read” などのファイル・システム権限フラグがバイパスされ、任意のファイル・アクセスが可能となる。
- CVE-2025-59465:不正な HEADERS フレームにより HTTP/2 サーバがクラッシュし、未処理の TLSSocket エラーが引き起こされ、リモートからの DoS 攻撃が成立する。
| CVE ID | Severity | Description Summary | Affected Versions | Reporter/Fixer |
|---|---|---|---|---|
| CVE-2025-55131 | High | Buffer alloc race exposes prior data | 20.x,22.x,24.x,25.x | Nikita Skovoroda/RafaelGSS |
| CVE-2025-55130 | High | Symlink bypasses FS permissions | 20.x,22.x,24.x,25.x | natann/RafaelGSS |
| CVE-2025-59465 | High | HTTP/2 malformed frame causes server crash | 20.x,22.x,24.x,25.x | dantt/RafaelGSS |
Medium の脆弱性
深刻度が Medium の脆弱性は 4 件確認されている。
- CVE-2025-59466:async_hooks によりスタック・オーバーフロー・エラーが捕捉不能となり、DoS ハンドラがバイパスされる。
- CVE-2025-59464:OpenSSL の UTF-8 変換処理に起因し、TLS クライアント証明書処理においてメモリ・リークが発生する。
- CVE-2026-21636:v25 の試験運用モデルにおいて、Unix ドメイン・ソケットによりネットワーク権限がバイパスされる。
- CVE-2026-21637:TLS の PSK/ALPN コールバックにより例外がスローされ、サーバのクラッシュやファイル・ディスクリプタのリークが発生する可能性がある。
| CVE ID | Severity | Description Summary | Affected Versions | Reporter/Fixer |
|---|---|---|---|---|
| CVE-2025-59466 | Medium | Uncatchable stack errors via async_hooks | 20.x,22.x,24.x,25.x | AndrewMacPherson/mcollina |
| CVE-2025-59464 | Medium | TLS cert memory leak | 20.x,22.x,24.x | giant_anteater/RafaelGSS |
| CVE-2026-21636 | Medium | UDS bypasses net permissions | 25.x | mufeedvh/RafaelGSS |
| CVE-2026-21637 | Medium | TLS callback exceptions cause DoS/FD leak | All with PSK/ALPN | 0xmaxhax/mcollina |
Low の脆弱性
- CVE-2025-55132:fs.futimes() により変更書き込み権限を持たない状態でも、タイムスタンプの更新が可能となり、v20 から v25 までの権限モデルにおける読み取り専用分離が損なわれる。
これらの修正に加え、今回のアップデートには、c-ares 1.34.6 および undici 6.23.0/7.18.0 への更新も含まれている。新たに提供される Node.js のバージョン 20.20.0/22.22.0/24.13.0/25.3.0 は、標準チャネルから入手可能である。 Node.js が強く推奨するのは、アップグレードを優先して実施することである。特に、本番環境の HTTP/2 サーバや、権限モデルが有効化された環境において、サポート終了間近のブランチが稼働している状況が懸念される。
Node.js チームは、複数の研究者による情報開示に謝意を示すとともに、エコシステム全体のセキュリティ確保におけるコミュニティの協力を重視している。また、複数回の延期を経て、本日のロールアウト前に徹底したテストが実施されたとしている。
JavaScript のサーバ・サイド実行環境として、世界中で使われている Node.js において、重要度の高い複数の脆弱性が一斉に修正されました。今回の問題の原因は、主にメモリ管理の競合/ファイル・システムの権限検証の不備/ネットワーク・プロトコルの処理ミスにあります。具体的には、”vm” モジュールでメモリを確保する際のタイミングのズレによる機密データが露出や、シンボリックリンクの悪用による不正なファイル読み取りなどが生じるとされます。ご利用のチームは、ご注意ください。よろしければ、Node.js での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.