Hack Alerta

Node.js corrige sete vulnerabilidades críticas em várias linhas

Por Redação Hack Alerta Publicado em 13/01/2026 16:03 Riscos e Ameaças Tempo de leitura: 3 min

Node.js liberou atualizações que corrigem sete vulnerabilidades, incluindo três de alta gravidade que permitem vazamento de memória, bypass de permissões via symlink e DoS em HTTP/2. Versões 20.x, 22.x, 24.x e 25.x foram afetadas.

Node.js corrige sete vulnerabilidades críticas em várias linhas

A equipe do Node.js liberou atualizações de segurança em 13 de janeiro de 2026 que corrigem sete vulnerabilidades (entre elas três de alta severidade) presentes nas linhas ativas. As correções afetaram versões 20.x, 22.x, 24.x e 25.x e incluem mitigação para problemas que podem vazar memória, burlar permissões de arquivo e causar DoS em servidores HTTP/2.

Vulnerabilidades de maior gravidade

O bulletin da Cyber Security News descreve três CVEs de alta gravidade que merecem atenção imediata:

  • CVE‑2025‑55131 — condição de corrida em Buffer.alloc/Uint8Array no módulo vm que pode expor dados residuais (potencial vazamento de tokens e segredos) nas versões 20.x, 22.x, 24.x e 25.x.
  • CVE‑2025‑55130 — ataques via symlink que podem contornar flags de permissão de sistema de arquivos (por exemplo, --allow-fs-read), possibilitando acesso a arquivos não intencionados.
  • CVE‑2025‑59465 — envio de quadros HEADERS malformados em HTTP/2 que causam crash de servidores por erros não tratados em TLSSocket, gerando condição de DoS.

Outros problemas e correções

Foram também tratadas quatro vulnerabilidades de severidade média, incluindo vazamento de memória durante processamento de certificados TLS, problemas com async_hooks que tornam exceções de estouro de pilha não capturáveis e bypasses de permissões via Unix Domain Sockets no modelo experimental do v25.

Além das correções no runtime, a divulgação recomenda atualizações de dependências usadas pela pilha (c‑ares 1.34.6, undici 6.23.0/7.18.0) e disponibiliza novas builds oficiais: Node.js 20.20.0, 22.22.0, 24.13.0 e 25.3.0.

Impacto e mitigação

Operadores de aplicações Node.js, especialmente servidores HTTP/2 em produção e ambientes que usam modelos de permissão restritiva, devem priorizar a atualização. Os riscos imediatos são:

  • Exposição de segredos em memória (tokens, chaves) por uso de Buffer não inicializado.
  • Escalada de acesso a arquivos através de symlinks em ambientes que utilizam flags de permissão finas.
  • Negação de serviço de servidores HTTP/2 podendo causar interrupção de serviços críticos.

Recomendações técnicas

  • Atualizar para as versões do Node.js listadas e revisar dependências internas (undici, c‑ares).
  • Priorizar serviços que expõem HTTP/2 ao público e pipelines que manipulam certificados/TLS.
  • Rever políticas de execução com flags de permissões (--allow‑fs‑read etc.) e reforçar controles sobre uploads e tratamento de symlinks.
  • Monitorar logs e métricas de estabilidade para detectar crashes ou comportamentos anômalos após a atualização.

Notas finais

A publicação credita diversos pesquisadores pela descoberta e enfatiza que as atualizações já estão disponíveis pelos canais oficiais do Node.js. Equipes de segurança devem testar em staging e implantar atualizações de acordo com sua política de mudança, priorizando serviços de produção expostos externamente.

Baseado em publicação original de Cyber Security News
Tags: #nodejs #vulnerabilidade #memoria #dos #http2 #undici #c-ares
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar