如果你的线上服务仍在运行 Node.js,那么这条安全警报必须立刻关注。
Node.js 官方团队近期发布了一轮 紧急安全更新,一次性覆盖 多个长期支持(LTS)与当前(Current)版本,修复了 多个高危与中危级别的安全漏洞。
其中部分漏洞的严重性极高,可直接导致敏感数据泄露、权限绕过,甚至引发服务崩溃(DoS)。
🔥 发生了什么?
根据 Node.js 官方发布的安全公告,此次更新并非常规维护版本,而是一次 集中式的安全修复,主要涉及以下关键领域:
- 不安全的
Buffer 创建
符号链接 权限校验缺失TLS 及 网络相关 异常处理问题async_hooks 引发的栈溢出与进程崩溃
官方已明确将其中多个漏洞标记为 High Severity(高危)。
🔐 关键漏洞一览(官方 CVE)
⚠️ 高危漏洞(强烈建议立即升级)
- CVE-2025-55131:不安全的
Buffer 创建,可能导致敏感数据泄漏。
- CVE-2025-55130:符号链接
API 权限校验不足,可绕过限制读取敏感文件。
- CVE-2025-59465:
TLSSocket 缺少错误处理器,可被攻击者利用以触发拒绝服务(DoS)。
⚠️ 中危漏洞(稳定性 & 可用性风险)
- CVE-2025-59466:
async_hooks 导致的栈溢出,可直接引发 Node 进程崩溃。
- CVE-2025-59464:TLS 客户端证书处理过程中的内存泄漏,存在 远程 DoS 风险。
- CVE-2026-21636 / 21637:
Pipe / TLS 回调异常未得到正确校验或路由。
⚠️ 谁最容易“中招”?
依据 The Hacker News 的安全分析,此次漏洞的影响范围 非常广泛:
- 几乎所有运行在生产环境的 Node.js 应用 均可能受到影响。
- 尤其是采用了以下技术栈的应用:
- Next.js / React Server Components
- 使用了
AsyncLocalStorage 的框架或库
- 集成 APM 监控工具(如
Datadog、New Relic、Dynatrace、Elastic APM、OpenTelemetry)
简单来说,只要你用到了 async_hooks 或依赖其功能的库,基本都处于潜在的影响范围之内。对于这类服务的管理和更新,可以参考 运维/DevOps/SRE 领域的实践来确保平稳过渡。
⛔ 特别注意:老旧版本无官方修复
官方在公告中特别强调:
- Node.js 8.x 至 18.x 的所有版本均已结束生命周期(EOL)。
- 这些老旧版本 确认存在上述安全漏洞。
- 官方 不会再为这些版本发布任何安全补丁。
这意味着,如果继续在生产环境中使用这些已停止支持的版本,就等于让线上服务 长期暴露在已知的安全风险之下。开发者社区如 Node.js 通常会强烈建议用户迁移到受支持的版本。
✅ 官方给出的安全版本
Node.js 官方明确建议所有用户立即升级至以下任一安全版本:
- 20.20.0(LTS)
- 22.22.0(LTS)
- 24.13.0
- 25.3.0(Current)
只要将 Node.js 升级到上述版本或更高版本,即可 覆盖本次安全公告披露的所有 CVE 漏洞。
📌 官方 & 权威来源
- Node.js 官方安全公告:
https://nodejs.org/ja/blog/vulnerability/december-2025-security-releases
- The Hacker News 报道:
https://thehackernews.com/2026/01/critical-nodejs-vulnerability-can-cause.html
(以上信息均基于官方公告整理)了解最新的安全动态和漏洞详情,对于维护系统安全至关重要,相关内容也可在专注于 安全/渗透/逆向 的技术社区进行深入讨论。 | 
发表于 11 小时前
|
查看: 2|
回复: 0
