Se han identificado vulnerabilidades en Node.js. Un actor malicioso remoto podría explotarlas para provocar una condición de denegación de servicio o eludir las restricciones de seguridad en el sistema objetivo.
Productos afectados
- Versiones de Node.js anteriores a 20.19.4 (LTS)
- Versiones de Node.js anteriores a 22.17.1 (LTS)
- Versiones de Node.js anteriores a 24.4.1
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-27209: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en la forma en que se calculan los hashes de cadenas mediante rapidhash. Esto podría permitir que un actor malicioso provoque una denegación de servicio mediante colisiones de hash (HashDoS), incluso sin conocer la semilla del hash.
CVE-2025-27210: con una puntuación de 7.5 en CVSS v3.1. Se ha identificado una solución incompleta para el CVE-2025-23084 en Node.js, que afecta específicamente a nombres de dispositivos Windows como CON, PRN y AUX.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nodejs.org/en/blog/vulnerability/july-2025-security-releases
- https://nvd.nist.gov/vuln/detail/CVE-2025-27209
- https://nvd.nist.gov/vuln/detail/CVE-2025-27210