Vulnerabilitatea critică Node.js poate provoca blocarea serverului

Node.js a lansat actualizări pentru a remedia ceea ce a descris ca fiind o vulnerabilitate critică de securitate care afectează practic toate aplicațiile Node.js de producție și care, dacă este exploatată cu succes, ar putea declanșa un atac de tip denial-of-service (DoS).

O eroare care se reproduce numai atunci când se utilizează async_hooks ar întrerupe această încercare, determinând Node.js să se închidă direct cu 7 fără a genera o eroare detectabilă atunci când recursiunile din codul utilizatorului epuizează spațiul stivei. Acest lucru face ca aplicațiile a căror profunzime de recursivitate este controlată de date de intrare nesanitizate să fie vulnerabile la atacuri de tip denial-of-service.

În esență, problema provine din faptul că Node.js se închide cu codul 7 (care indică o eroare de rulare a gestionarului de excepții interne) în loc să gestioneze cu succes excepția atunci când se produce o depășire a stivei în codul utilizatorului în timp ce async_hooks este activat.

Async_hooks este un API Node.js de nivel inferior care permite dezvoltatorilor să urmărească durata de funcționare a resurselor asincrone, cum ar fi interogările bazelor de date, temporizatoarele sau cererile HTTP.

Problema, potrivit Node.js, afectează mai multe framework-uri și instrumente de monitorizare a performanței aplicațiilor (APM), inclusiv React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM și OpenTelemetry, din cauza utilizării AsyncLocalStorage, o componentă construită pe modulul async_hooks care permite stocarea datelor pe toată durata unei operațiuni asincrone.

Această vulnerabilitate a fost remediată în următoarele versiuni:

• Node.js 20.20.0 (LTS);
• Node.js 22.22.0 (LTS);
• Node.js 24.13.0 (LTS);
• Node.js 25.3.0 (Actual).

Vulnerabilitatea afectează, de asemenea, toate versiunile Node.js de la 8.x, care a fost prima versiune cu async_hooks, până la 18.x. Este de remarcat faptul că versiunea Node.js 8.0.0, cu numele de cod Carbon, a fost lansată pe 30 mai 2017. Cu toate acestea, aceste versiuni rămân neremediate, deoarece au ajuns la sfârșitul duratei de funcționare (EoL).

Remedierea pusă în aplicare detectează erorile de tip stack overflow și le retrimite către codul utilizatorului, în loc să le trateze ca fiind critice. Aceasta este urmărită sub identificatorul CVE-2025-59466 (scor CvSS: 7.5/10).

Având în vedere severitatea vulnerabilității, utilizatorilor framework-urilor/instrumentelor și furnizorilor de servicii de găzduire a serverelor li se recomandă să efectueze actualizarea cât mai curând posibil. Administratorilor de biblioteci și framework-uri li se recomandă să aplice măsuri de protejare mai riguroase pentru a preveni epuizarea spațiului de stocare și a asigura disponibilitatea serviciilor.

Sursă: https://thehackernews.com/2026/01/critical-nodejs-vulnerability-can-cause.html