文章总结： Node.js发布紧急安全更新，修复活跃版本中7个中高危漏洞，涵盖内存泄露、拒绝服务及权限绕过。涉及Buffer竞争泄露、符号链接绕过及HTTP/2畸形帧崩溃等风险。建议生产环境特别是HTTP/2服务器立即升级至v20.20.0、v22.22.0、v24.13.0或v25.3.0，并同步更新c-ares和undici依赖库。 综合评分： 85 文章分类： 漏洞预警,应用安全,WEB安全

Node.js发布安全更新，修复所有维护版本中的7个漏洞

网安百色

2026年1月14日 19:05 广西

一、安全更新概览

2026年1月13日，Node.js官方发布紧急安全更新，修复多个活跃版本中的7个中高危漏洞，涵盖内存泄漏、拒绝服务（DoS）和权限绕过等风险。官方敦促受影响系统立即升级。

二、高危漏洞详情

1. 高危漏洞（CVSS评分未明确）

| CVE编号 | 严重程度 | 漏洞描述 | 受影响版本 | 报告者/修复者 | | — | — | — | — | — | | CVE-2025-55131 | 高 | Buffer.alloc内存竞争泄露漏洞 vm模块的超时竞争条件导致Buffer.alloc和Uint8Array暴露未初始化内存，可能泄露令牌等敏感数据 | 20.x,22.x,24.x,25.x | Nikita Skovoroda/RafaelGSS | | CVE-2025-55130 | 高 | 符号链接绕过文件系统权限 攻击者可利用符号链接绕过--allow-fs-read等权限标志，实现任意文件访问 | 20.x,22.x,24.x,25.x | natann/RafaelGSS | | CVE-2025-59465 | 高 | HTTP/2头部帧畸形导致服务崩溃 通过构造恶意HTTP/2 HEADERS帧触发未处理的TLSSocket错误，实现远程DoS攻击 | 20.x,22.x,24.x,25.x | dantt/RafaelGSS |

三、中危漏洞修复

2. 中危漏洞（CVSS评分未明确）

| CVE编号 | 严重程度 | 漏洞描述 | 受影响版本 | 报告者/修复者 | | — | — | — | — | — | | CVE-2025-59466 | 中 | async_hooks引发不可捕获的堆栈溢出 异步钩子导致堆栈溢出错误无法被捕获，绕过错误处理机制触发DoS | 20.x,22.x,24.x,25.x | AndrewMacPherson/mcollina | | CVE-2025-59464 | 中 | TLS证书处理内存泄漏 OpenSSL UTF-8转换导致TLS客户端证书处理内存泄漏 | 20.x,22.x,24.x | giant_anteater/RafaelGSS | | CVE-2026-21636 | 中 | Unix域套接字绕过网络权限 v25实验性模块中通过Unix域套接字（UDS）绕过网络权限控制 | 25.x | mufeedvh/RafaelGSS | | CVE-2026-21637 | 中 | TLS PSK/ALPN回调异常 PSK/ALPN回调抛出异常导致服务崩溃或文件描述符泄漏 | 所有启用PSK/ALPN的版本 | 0xmaxhax/mcollina |

四、低危漏洞修复

3. 低危漏洞（CVE-2025-55132）

• 漏洞描述：fs.futimes()可在无写权限情况下修改时间戳，破坏v20至v25版本权限模型的只读隔离机制。

五、依赖库更新

• c-ares：升级至1.34.6（修复公共漏洞）
• undici：升级至6.23.0或7.18.0（修复HTTP客户端漏洞）

六、受影响版本及修复方案

| Node.js版本 | 修复版本 | 下载地址 | | — | — | — | | v20.x | v20.20.0 | 官方下载 | | v22.x | v22.22.0 | 官方下载 | | v24.x | v24.13.0 | 官方下载 | | v25.x | v25.3.0 | 官方下载 |

升级建议：

• 生产环境HTTP/2服务器和启用权限控制的系统需优先升级
• 旧版本用户需注意：v18.x已于2025年4月结束支持（EOL）

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《Node.js发布安全更新，修复所有维护版本中的7个漏洞》