[TLP:CLEAR] Node.js opravuje 8 zraniteľností
Node.js verziami 20.20.0, 22.22.0, 24.13.0 a 25.3.0 opravuje 8 zraniteľností [1].
Neautentizovanému vzdialenému útočníkovi je v dôsledku časovo podmienenej race condition pri alokácii pamäte umožnené získať dáta z pamäte využívanej predošlými procesmi [1].
Zraniteľnosť sa nachádza v produkte Node.js vo verziách (>=20.0.0 AND <20.20.0) OR (>=22.0.0 AND <22.22.0) OR (>=24.0.0 AND <24.13.0) OR (>=25.0.0 AND <25.3.0).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-55131 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-908: Use of Uninitialized Resource at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 1. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku obídenia obmedzení prístupu k súborom pomocou upravených symbolických odkazov umožnené neoprávnene čítať alebo zapisovať súbory, čo potenciálne môže viesť ku kompromitácii systému [1].
Zraniteľnosť sa nachádza v produkte Node.js vo verziách (>=20.0.0 AND <20.20.0) OR (>=22.0.0 AND <22.22.0) OR (>=24.0.0 AND <24.13.0) OR (>=25.0.0 AND <25.3.0).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-55130 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 1. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nesprávneho spracovania chybného HTTP/2 rámca umožnené spôsobiť DoS útok, najmä v aplikáciách, ktoré nemajú ošetrené chybové stavy na zabezpečených soketoch [1].
Zraniteľnosť sa nachádza v produkte Node.js vo verziách (>=20.0.0 AND <20.20.0) OR (>=22.0.0 AND <22.22.0) OR (>=24.0.0 AND <24.13.0) OR (>=25.0.0 AND <25.3.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-59465 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-703: Improper Check or Handling of Exceptional Conditions at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 1. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nesprávneho ošetrenia výnimky pri hlbokej rekurzii umožnené spôsobiť pád procesu, čo môže viesť k DoS útoku [1].
Zraniteľnosť sa nachádza v produkte Node.js vo verziách (>=20.0.0 AND <20.20.0) OR (>=22.0.0 AND <22.22.0) OR (>=24.0.0 AND <24.13.0) OR (>=25.0.0 AND <25.3.0).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-59466 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-703: Improper Check or Handling of Exceptional Conditions at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 1. 2026.
Za CESNET-CERTS Henrieta Paločková dňa 16. 1. 2026.
