Se han descubierto vulnerabilidades de severidad alta en productos Node.js. Un actor malicioso podría comprometer la disponibilidad del servicio mediante la interrupción de procesos o el agotamiento de recursos en los sistemas afectados.
Productos afectados
Node.js:
- Versiones 25.x anteriores a 25.3.0.
- Versiones 24.x anteriores a 24.13.0.
- Versiones 22.x anteriores a 22.22.0.
- Versiones 20.x anteriores a 20.20.0.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-21637: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en el manejo de errores de TLS cuando se utilizan las funciones pskCallback o ALPNCallback. Un actor malicioso remoto podría provocar la terminación inmediata del proceso o fugas de descriptores de archivos, resultando en una denegación de servicio persistente.
CVE-2026-21710: con una puntuación de 7.5 en CVSS v3.0. Existe una vulnerabilidad en el manejo de solicitudes HTTP mediante el uso de encabezados específicos. Un actor malicioso remoto podría enviar una solicitud diseñada para activar una excepción síncrona no interceptable, lo que provoca la caída del servicio de la aplicación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias