Node.js 项目于 2025 年 1 月 21 日发布了新的安全更新,以修复多个高、中风险漏洞。这些更新适用于 Node.js 的 23.x、22.x、20.x 和 18.x 发行版线。
安全漏洞概述
1. 内部工作者权限绕过漏洞(CVE-2025-23089)- 高风险
该漏洞通过诊断通道工具在创建工作者线程时hook事件,允许获取内部工作者实例并重新安装其构造函数,用于恶意操作。这种漏洞影响了 Node.js v20、v22 和 v23 的权限模型用户(–permission)。
影响范围:
- 影响所有活跃发行版线:20.x、22.x、23.x
感谢 leodog896 提供了漏洞报告,感谢 RafaelGSS 修复了该漏洞。
2. Windows 环境路径遍历漏洞(CVE-2025-23084)- 中风险
在 Windows 环境中,Node.js 处理驱动器名称时存在问题。某些 Node.js 函数不对驱动器名称进行特殊处理,导致虽然 Node.js 假设相对路径,但实际上引用的是根目录。
影响范围:
- 影响所有活跃发行版线:18.x、20.x、22.x、23.x
感谢 taise 提供了漏洞报告,感谢 tniessen 修复了该漏洞。
3. GOAWAY HTTP/2 框架导致的内存泄露(CVE-2025-23085)- 中风险
当远程对端突然关闭连接而未发送 GOAWAY 通知,或检测到无效头部时,nghttp2 连接会被终止,引发内存泄露。这种漏洞可能导致内存消耗增加和潜在拒绝服务攻击。
影响范围:
- 影响所有活跃发行版线:18.x、20.x、22.x 和 23.x
感谢 newtmitch 提供了漏洞报告,感谢 RafaelGSS 修复了该漏洞。
影响和建议
- 影响范围:这些漏洞影响了多个活跃 Node.js 发行版线,包括 18.x、20.x、22.x 和 23.x。
- 建议:为了确保系统安全,请尽快升级到最新版本。具体建议可参阅 Node.js 发布日程表。
下载和发布详细信息
新的 Node.js 版本将于 2025 年 1 月 21 日或稍后发布,以解决这些漏洞。具体下载和发布细节请参阅 Node.js 官方网站。
联系和未来更新
有关 Node.js 安全政策,请访问 https://nodejs.org/en/security/。如果您发现 Node.js 漏洞,请按照 https://github.com/nodejs/node/blob/master/SECURITY.md 的过程进行报告。为了获取最新安全漏洞和相关更新,请订阅低频公告邮件列表 nodejs-sec:https://groups.google.com/forum/#!forum/nodejs-sec。