Node.jsのセキュリティリリース、サポート対象の全バージョンにわたる7件の脆弱性を修正

Node.jsプロジェクトは、すべてのアクティブなリリースラインに影響する複数の脆弱性に対処する重要なセキュリティ更新を公開しました。

2026年1月13日、Node.jsチームは発表し、20.x、22.x、24.x、25.x向けのパッチを提供しました。これにより、高深刻度の問題3件、中深刻度の問題4件、低深刻度の脆弱性1件に対応しています。

これらの更新には、c-aresおよびundiciの依存関係パッチが含まれており、リモートからの悪用を可能にし得る公開済みの脆弱性を解消します。

最も重大な脆弱性であるCVE-2025-55131は、バッファ割り当てロジックにおけるタイムアウト起因の競合状態に関するものです。

CVE ID	脆弱性のタイトル	深刻度	影響を受けるバージョン
CVE-2025-55131	タイムアウト起因の競合状態によりUint8Array/Buffer.allocがゼロ埋めされない	高	20.x, 22.x, 24.x, 25.x
CVE-2025-55130	細工したシンボリックリンクによりファイルシステム権限を回避	高	20.x, 22.x, 24.x, 25.x
CVE-2025-59465	不正なHEADERSフレーム受信時、未処理エラーによりNode.jsのHTTP/2サーバーがクラッシュ	高	20.x, 22.x, 24.x, 25.x
CVE-2025-59466	async_hooks経由で捕捉不能な「Maximum call stack size exceeded」エラーが発生しプロセスがクラッシュ	中	20.x, 22.x, 24.x, 25.x
CVE-2025-59464	TLSクライアント証明書処理に対するリモートDoSを可能にするメモリリーク	中	20.x, 22.x, 24.x
CVE-2026-21636	未検証のUnixドメインソケット接続による権限モデル回避	中	25.x
CVE-2026-21637	TLS PSK/ALPNコールバック例外がエラーハンドラを回避し、DoSとFDリークを引き起こす	中	20.x, 22.x, 24.x, 25.x
CVE-2025-55132	fs.futimes()が読み取り専用の権限モデルを回避	低	20.x, 22.x, 24.x, 25.x

vmモジュールをタイムアウト付きで使用する場合、Buffer.allocやUint8ArrayのようなTypedArrayインスタンスで確保されたバッファに未初期化メモリが含まれる可能性があり、トークンやパスワードなどプロセス内の秘密情報が露出するおそれがあります。

悪用には通常、精密なタイミング調整またはプロセス内でのコード実行が必要ですが、信頼できない入力がワークロードやタイムアウトに影響を与える場合、この脆弱性はリモートから悪用可能になります。

2つ目の高深刻度の欠陥であるCVE-2025-55130は、細工した相対シンボリックリンクパスを用いて、–allow-fs-readおよび–allow-fs-writeの権限制限を回避できるものです。

これによりNode.jsの権限モデルが提供する分離保証が破られ、任意のファイルアクセスが可能になります。

3つ目の高深刻度の問題であるCVE-2025-59465は、過大なHPACKデータを含む不正なHEADERSフレームを受信するHTTP/2サーバーに影響します。

この脆弱性は未処理のTLSSocketエラーを引き起こしてプロセスをクラッシュさせ、明示的なソケットエラーハンドラを備えていないアプリケーションではサービス拒否につながります。

中深刻度の脆弱性には、TLS証明書処理におけるメモリリーク（CVE-2025-59464）、async_hooks経由の捕捉不能なスタックオーバーフローエラー（CVE-2025-59466）、およびTLSコールバック例外がエラーハンドラを回避する問題（CVE-2026-21637）が含まれます。

Unixドメインソケット接続に影響する権限モデル回避（CVE-2026-21636）は、特に25.xに影響します。低深刻度の問題CVE-2025-55132は、読み取り専用権限にもかかわらずfs.futimes()がファイルのタイムスタンプを変更できるようにします。

本番環境でNode.jsを運用しているユーザーは、修正済みバージョンへの更新を直ちに最優先すべきです。

Node.jsのセキュリティポリシーでは、システムの安全性を維持するため、アクティブなリリーススケジュールに基づく最新バージョンの使用を推奨しています。

関連記事