Node.js ha publicado actualizaciones para solucionar lo que describió como un problema de seguridad crítico que afecta a “prácticamente todas las aplicaciones Node.js de producción” y que, si se explota con éxito, podría desencadenar una condición de denegación de servicio (DoS).
“Node.js/V8 hace su mejor esfuerzo para recuperarse del agotamiento del espacio de la pila con un error detectable, en el que los marcos han llegado a pender para la disponibilidad del servicio”, dijeron Matteo Collina y Joyee Cheung de Node.js en un boletín del martes.
“Un error que solo se reproduce cuando se usan async_hooks interrumpiría este intento, causando que Node.js salga con 7 directamente sin originar un error detectable cuando las recursiones en el código de favorecido agotan el espacio de la pila. Esto hace que las aplicaciones cuya profundidad de recursividad está controlada por entradas no saneadas sean vulnerables a ataques de denegación de servicio”.
En esencia, la deficiencia surge del hecho de que Node.js sale con el código 7 (que indica una error en el tiempo de ejecución del regulador de excepciones interno) en ocasión de manejar correctamente la excepción cuando se produce un desbordamiento de pila en el código de favorecido mientras async_hooks está competente. Async_hooks es una API de Node.js de bajo nivel que permite a los desarrolladores realizar un seguimiento del ciclo de vida de medios asincrónicos, como consultas de bases de datos, temporizadores o solicitudes HTTP.
El problema, dijo Node.js, afecta a varios marcos y herramientas de monitoreo del rendimiento de aplicaciones (APM), incluidos React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM y OpenTelemetry, adecuado al uso de AsyncLocalStorage, un componente construido sobre el módulo async_hooks que hace posible acumular datos durante la vida útil de una operación asincrónica.
Se ha abordado en las siguientes versiones:
- Node.js 20.20.0 (LTS)
- Node.js 22.22.0 (LTS)
- Node.js 24.13.0 (LTS)
- Node.js 25.3.0 (Contemporáneo)
El problema todavía afecta a todas las versiones de Node.js desde 8.x, que fue la primera interpretación con async_hooks, hasta 18.x. Vale la pena señalar que la interpretación 8.0.0 de Node.js, con nombre en código Carbon, se lanzó el 30 de mayo de 2017. Sin secuestro, estas versiones no están parcheadas porque han ajustado el estado de fin de vida útil (EoL).
La decisión implementada detecta errores de desbordamiento de pila y los vuelve a destinar al código de favorecido en ocasión de tratarlos como fatales. Esto se está rastreando bajo el identificador CVE. CVE-2025-59466 (Puntuación CVSS: 7,5). A pesar del impacto práctico significativo, Node.js dijo que está tratando la decisión solo como una mitigación adecuado a un par de razones:
“Aunque es una corrección de errores para un comportamiento no especificado, decidimos incluirlo en la interpretación de seguridad adecuado a su impacto generalizado en el ecosistema”, dijo Node.js. “Los componentes de React Server, Next.js y prácticamente todas las herramientas APM se ven afectados. La decisión progreso la experiencia del desarrollador y hace que el manejo de errores sea más predecible”.
A la luz de la solemnidad de la vulnerabilidad, se recomienda a los usuarios de los marcos/herramientas y a los proveedores de alojamiento de servidores que actualicen lo ayer posible. Se recomienda a los mantenedores de bibliotecas y marcos que apliquen defensas más sólidas para contrarrestar el agotamiento del espacio de la pila y avalar la disponibilidad del servicio.
La divulgación se produce cuando Node.js todavía lanzó correcciones para otras tres fallas de adhesión solemnidad (CVE-2025-55131, CVE-2025-55130 y CVE-2025-59465) que podrían explotarse para conseguir fuga o corrupción de datos, ojear archivos confidenciales utilizando rutas de enlace simbólico relativo (enlace simbólico) diseñadas y desencadenar una denegación de servicio remota, respectivamente.
