Node.js ha publicado actualizaciones para corregir lo que describió como un problema de seguridad crítico que afectaba a «prácticamente todas las aplicaciones Node.js de producción» y que, si se explota correctamente, podría desencadenar una condición de denegación de servicio (DoS).
«Node.js/v8 hace todo lo posible por recuperarse del agotamiento del espacio de pila con un error que se puede detectar, en el que los marcos confían para la disponibilidad de los servicios», dijeron Matteo Collina y Joyee Cheung de Node.js dijo en un boletín del martes.
«Un error que solo se reproduce cuando se usan async_hooks interrumpiría este intento y haría que Node.js saliera con 7 directamente sin generar un error detectable cuando las recursiones en el código de usuario agoten el espacio de la pila. Esto hace que las aplicaciones cuya profundidad de recursión está controlada mediante entradas no desinfectadas sean vulnerables a los ataques de denegación de servicio».
En esencia, la deficiencia se debe al hecho de que Node.js sale con el código 7 (que indica un Fallo en tiempo de ejecución del controlador de excepciones interno ) en lugar de con gracia manejo de la excepción cuando se produce un desbordamiento de pila en el código de usuario mientras async_hooks está habilitado. Async_hooks es un API Node.js de bajo nivel que permite a los desarrolladores realizar un seguimiento del ciclo de vida de los recursos asincrónicos, como las consultas a bases de datos, los temporizadores o las solicitudes HTTP.
Según Node.js, el problema afecta a varios marcos y herramientas de monitoreo del rendimiento de las aplicaciones (APM), incluidos React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM y OpenTelemetry, debido al uso de Almacenamiento local asíncrono , un componente creado sobre el módulo async_hooks que permite almacenar datos durante toda la vida útil de una operación asincrónica.
Ha sido dirigido en las siguientes versiones -
- Node.js 20.20.0 (LTS)
- Node.js 22.22.0 (LTS)
- Node.js 24.13.0 (LTS)
- Node.js 25.3.0 (actual)
El problema también afecta a todas las versiones de Node.js, desde la 8.x, que fue la primera versión con async_hooks, hasta la 18.x. Vale la pena señalar que la versión 8.0.0 de Node.js, cuyo nombre en código es Carbon, se publicó el 30 de mayo de 2017. Sin embargo, estas versiones no están parcheadas porque han llegado al final de su vida útil (EoL).
La solución puesta en marcha detecta apila los errores de desbordamiento y los vuelve a lanzar al código de usuario en lugar de tratarlos como fatales. Esto se está rastreando con el identificador CVE CVE-2025-59466 (Puntuación CVSS: 7,5). A pesar del importante impacto práctico, Node.js dijo que está tratando la solución solo como una mitigación por un par de razones:
- El agotamiento del espacio de pila no forma parte del Especificación ECMAScript
- El motor JavaScript V8 no trata es un problema de seguridad
- Limitaciones con la» Excepción no detectada «manejador», que está diseñado para usarse como mecanismo de último recurso para la gestión de excepciones
«Aunque se trata de una corrección de errores para un comportamiento no especificado, decidimos incluirla en la versión de seguridad debido a su impacto generalizado en el ecosistema», afirma Node.js. «Los componentes de React Server, Next.js y prácticamente todas las herramientas de APM se ven afectados. La solución mejora la experiencia de los desarrolladores y hace que la gestión de errores sea más predecible».
A la luz de la gravedad de la vulnerabilidad, se recomienda a los usuarios de los marcos/herramientas y a los proveedores de alojamiento de servidores que actualicen lo antes posible. Se recomienda a los responsables del mantenimiento de las bibliotecas y los marcos que apliquen defensas más sólidas para contrarrestar el agotamiento del espacio en las pilas y garantizar la disponibilidad de los servicios.
La divulgación también se presenta como Node.js correcciones publicadas para otras tres fallas de alta gravedad (CVE-2025-55131, CVE-2025-55130 y CVE-2025-59465) que podrían aprovecharse para provocar la filtración o corrupción de datos, lea los archivos confidenciales utilizando rutas de enlace simbólico relativo (enlace simbólico) diseñadas y active una denegación de servicio remota, respectivamente.
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS