Se han descubierto vulnerabilidades de severidad alta en Node.js. Un actor malicioso podría provocar una denegación de servicio, acceder a información sensible de la memoria o eludir restricciones del sistema de archivos.
Productos afectados
- Node.js (rama 25.x): versiones anteriores a 25.3.0
- Node.js (rama 24.x): versiones anteriores a 24.13.0
- Node.js (rama 22.x): versiones anteriores a 22.22.0
- Node.js (rama 20.x): versiones anteriores a 20.20.0
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-59465: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en el servidor HTTP/2. Un actor malicioso podría enviar tramas HEADERS mal formadas con datos HPACK inválidos, lo que provocaría un error no controlado y el cierre inesperado del proceso Node.js.
CVE-2025–55130: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de elusión del modelo de permisos. Un actor malicioso podría utilizar enlaces simbólicos manipulados para eludir las restricciones de lectura y escritura del sistema de archivos, accediendo a archivos fuera de los límites permitidos.
CVE-2025–55131: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad en la lógica de asignación de búfer de Node.js. Un actor malicioso podría acceder a memoria no inicializada, lo que podría resultar en la filtración de secretos o datos sensibles del proceso.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias