Node.js ha publicado actualizaciones para solucionar lo que describió como un problema de seguridad crítico que afecta a «prácticamente todas las aplicaciones Node.js de producción» y que, si se explota con éxito, podría desencadenar una condición de denegación de servicio (DoS).
«Node.js/V8 hace su mejor esfuerzo para recuperarse del agotamiento del espacio de la pila con un error detectable, en el que los marcos han llegado a confiar para la disponibilidad del servicio», Matteo Collina y Joyee Cheung de Node.js. dicho en un boletín del martes.
«Un error que solo se reproduce cuando se usan async_hooks interrumpiría este intento, causando que Node.js salga con 7 directamente sin generar un error detectable cuando las recursiones en el código de usuario agotan el espacio de la pila. Esto hace que las aplicaciones cuya profundidad de recursividad está controlada por entradas no saneadas sean vulnerables a ataques de denegación de servicio».
En esencia, la deficiencia surge del hecho de que Node.js sale con el código 7 (que denota un Error en tiempo de ejecución del controlador de excepciones interno) en lugar de con gracia manejando la excepción cuando se produce un desbordamiento de pila en el código de usuario mientras async_hooks está habilitado. Async_hooks es un API Node.js de bajo nivel que permite a los desarrolladores realizar un seguimiento del ciclo de vida de los recursos asincrónicos, como consultas de bases de datos, temporizadores o solicitudes HTTP.
El problema, dijo Node.js, afecta a varios marcos y herramientas de monitoreo del rendimiento de aplicaciones (APM), incluidos React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM y OpenTelemetry, debido al uso de Almacenamiento local asíncronoun componente creado sobre el módulo async_hooks que permite almacenar datos durante toda la vida útil de una operación asincrónica.
Ha sido dirigido en las siguientes versiones –
- Node.js 20.20.0 (LTS)
- Node.js 22.22.0 (LTS)
- Node.js 24.13.0 (LTS)
- Node.js 25.3.0 (actual)
El problema también afecta a todas las versiones de Node.js desde 8.x, que fue la primera versión con async_hooks, hasta 18.x. Vale la pena señalar que la versión 8.0.0 de Node.js, con nombre en código Carbon, se lanzó el 30 de mayo de 2017. Sin embargo, estas versiones no están parcheadas porque han alcanzado el estado de fin de vida útil (EoL).
La solución implementada detecta apila errores de desbordamiento y los vuelve a enviar al código de usuario en lugar de tratarlos como fatales. Esto se está rastreando bajo el identificador CVE. CVE-2025-59466 (Puntuación CVSS: 7,5). A pesar del impacto práctico significativo, Node.js dijo que está tratando la solución solo como una mitigación debido a un par de razones:
«Aunque es una corrección de errores para un comportamiento no especificado, decidimos incluirlo en la versión de seguridad debido a su impacto generalizado en el ecosistema», dijo Node.js. «Los componentes de React Server, Next.js y prácticamente todas las herramientas APM se ven afectados. La solución mejora la experiencia del desarrollador y hace que el manejo de errores sea más predecible».
A la luz de la gravedad de la vulnerabilidad, se recomienda a los usuarios de los marcos/herramientas y a los proveedores de alojamiento de servidores que actualicen lo antes posible. Se recomienda a los mantenedores de bibliotecas y marcos que apliquen defensas más sólidas para contrarrestar el agotamiento del espacio de la pila y garantizar la disponibilidad del servicio.
La divulgación se produce cuando Node.js también correcciones publicadas para otras tres fallas de alta gravedad (CVE-2025-55131, CVE-2025-55130 y CVE-2025-59465) que podrían explotarse para lograr fuga o corrupción de datos, leer archivos confidenciales utilizando rutas de enlace simbólico relativo (enlace simbólico) diseñadas y desencadenar una denegación de servicio remota, respectivamente.
Fuente