2026年1月13日(火)に発表されたセキュリティリリースは、Node.js 20.20.0、22.22.0、24.13.0、25.3.0として提供されています。
プロジェクトによると、サポート対象の全ラインが、複数のリモートからトリガー可能なサービス拒否(DoS)状態、メモリ処理の欠陥、権限モデルのバイパスの影響を受けており、本番環境で管理者がパッチを適用する緊急性を浮き彫りにしています。
両方の欠陥はすべてのアクティブなリリースラインに影響し、マルチテナント環境や信頼できないコード実行において高いリスクをもたらします。
さらに、fs.futimes()における低深刻度のバグにより、本来は読み取り専用と見なされる状況でもタイムスタンプの変更が可能となり、監査およびログの信頼性を損なっていました。
Node.jsのメンテナーは、セキュリティアドバイザリが公開されるたびにサポート終了(End-of-Life)ブランチも暗黙的に影響を受けると改めて強調し、公式リリーススケジュールに従ってサポート対象バージョンへ移行するようユーザーに強く助言しています。
本番運用者には、直ちにアップグレードし、これらの修正を踏まえて権限モデル、HTTP/2、TLSクライアント証明書、async hooksの利用状況を見直すことが強く求められています。
翻訳元: https://cyberpress.org/node-js-security-release-patches-7-vulnerabilities-across-all-release-lines/
ソース: cyberpress.org