はじめに
日本時間の2025-12-09 午前3時頃にnode.js開発者からセキュリティリリースに関する事前告知がありました。
当時は「来週のどこかでリリース」ということでしたが、ズルズルと伸ばされて実際に修正版配布が行われたのは2026-01-14でした。
評価がHighとなっている脆弱性が複数あるのですが、各ベンダーの動きが遅いです。RHELに至ってはパッチリリースされてから7日たってからやっとKB作成された有様。
各ベンダーのKBへのリンク集
CVE-2025-55131
- Timeout-based race conditions make Uint8Array/Buffer.alloc non-zerofilled (CVE-2025-55131) - (High)
- RHEL: Affected
- AL2023: Pending Fix
CVE-2025-55130
- Bypass File System Permissions using crafted symlinks (CVE-2025-55130) - (High)
- RHEL: Affected
- AL2023: Pending Fix
CVE-2025-59465
- Node.js HTTP/2 server crashes with unhandled error when receiving malformed HEADERS frame (CVE-2025-59465) - (High)
- RHEL: Affected
- AL2023: Pending Fix
CVE-2025-59466
- Uncatchable "Maximum call stack size exceeded" error on Node.js via async_hooks leads to process crashes bypassing error handlers (CVE-2025-59466) - (Medium)
- RHEL: Fix deferred
- AL2023: Pending Fix
CVE-2025-59464
- Memory leak that enables remote Denial of Service against applications processing TLS client certificates (CVE-2025-59464) - (Medium)
- RHEL: Fix deferred
- AL2023: Pending Fix or Not Affected
CVE-2026-21636
- Node.js permission model bypass via unchecked Unix Domain Socket connections (UDS) (CVE-2026-21636) - (Medium)
- RHEL: Not affected
- AL2023: Not Affected
CVE-2026-21637
- TLS PSK/ALPN Callback Exceptions Bypass Error Handlers, Causing DoS and FD Leak (CVE-2026-21637) - (Medium)
- RHEL: Fix deferred
- AL2023: Pending Fix
CVE-2025-55132
- fs.futimes() Bypasses Read-Only Permission Model (CVE-2025-55132) - (Low)
- RHEL: Fix deferred
- AL2023: Pending Fix