Node.js - Gennaio 2026 Security Releases

Nuove vulnerabilità critite in Node.js

Dopo la notizia a dicembre della presenza di alcune vulneabilità gravi in Node.js, il team ha pensato in modo più che ragionevole di rilasciare aggiornamenti e informazioni in merito solo dopo le festività natalizie.

Sono ora disponibili quindi aggiornamenti per le versioni 25.x, 24.x, 22.x e 20.x di Node.js per risolvere:

3 problemi di gravità elevata. 4 problemi di gravità media. 1 problema di gravità bassa.

Vulnerabilità high

• Timeout-based race conditions make Uint8Array/Buffer.alloc non-zerofilled (CVE-2025-55131)
• Bypass File System Permissions using crafted symlinks (CVE-2025-55130)
• Node.js HTTP/2 server crashes with unhandled error when receiving malformed HEADERS frame (CVE-2025-59465)

Vulnerabilità medium

• Uncatchable “Maximum call stack size exceeded” error on Node.js via async_hooks leads to process crashes bypassing error handlers (CVE-2025-59466)
• Memory leak that enables remote Denial of Service against applications processing TLS client certificates (CVE-2025-59464)
• Node.js permission model bypass via unchecked Unix Domain Socket connections (UDS) (CVE-2026-21636)
• TLS PSK/ALPN Callback Exceptions Bypass Error Handlers, Causing DoS and FD Leak (CVE-2026-21637)

Vulneabilità low

• fs.futimes() Bypasses Read-Only Permission Model (CVE-2025-55132)

Download e dettagli sulla versione

• Node.js 20.20.0
• Node.js 22.22.0
• Node.js 24.13.0
• Node.js 25.3.0

È importante notare che le versioni End-of-Life sono sempre interessate quando viene rilasciata una versione di sicurezza. Per garantire la sicurezza del sistema, utilizzare una versione aggiornata come indicato nel Programma di rilascio di Node.js.