Node.js 存在多个严重安全漏洞！官方建议尽快升级

前言

Node.js 官方在 2026 年 1 月 13 日更新修复了多个严重安全漏洞，涉及缓冲区泄露、权限绕过、DoS 攻击等，影响所有活跃版本，建议所有用户尽快升级！

往期精彩推荐

• pnpm + monorepo 才是 AI 协同开发的最佳方案！
• 紧急！React 19 RSC、RSF 存在严重漏洞，官方发布紧急修复版本！
• 坏了，又快失业了！Gemini3 pro Antigravity 快速体验！震撼还原 UI 稿！
• 更多精彩文章欢迎关注我的公众号

正文

本次安全发布主要针对 Node.js 当前所有活跃版本（20.x、22.x、24.x、25.x）发布了补丁，累计修复了 3 个 高危、4 个 中危 和 1 个 低危 严重性的漏洞，

同时更新了核心依赖 c-ares 和 undici。

主要高危漏洞：

1. CVE-2025-55131（High）

Timeout 导致的竞态条件，使得 Buffer.alloc / Uint8Array 可能分配到未清零的内存，存在敏感信息泄露风险（密钥、token 等）。需要特定时机或攻击者控制超时行为才能利用，但危害极大。

1. CVE-2025-55130（High）

使用精心构造的相对路径符号链接，可绕过 --allow-fs-read / --allow-fs-write 权限限制，实现任意文件读写。严重破坏了 Permission Model 的隔离能力。

1. CVE-2025-59465（High）

HTTP/2 服务器在收到畸形 HEADERS 帧时会直接抛出未处理的 TLSSocket 错误，导致进程崩溃（远程 DoS）。未加 error 监听的 HTTPS 服务尤其危险。

中危漏洞：

• CVE-2026-21636（Medium）：

权限模型下 Unix Domain Socket 未受 --allow-net 限制，可连接任意本地 socket，存在提权风险（仅影响 v25）

• CVE-2025-59466（Medium）：

async_hooks 场景下栈溢出错误无法被捕获，直接终止进程（DoS）

• CVE-2026-21637（Medium）：

TLS PSK/ALPN 回调中同步异常会绕过错误处理，导致崩溃或 fd 泄漏

低危漏洞

• CVE-2025-55132（Low）：

fs.futimes() 可绕过只读权限修改文件时间戳（痕迹清理）。

受影响版本：所有活跃分支 20.x、22.x、24.x、25.x（EOL 版本同样受影响，但官方不再修复） 修复版本：2025 年 12 月 15 日之后发布的最新 20.x / 22.x / 24.x / 25.x 版本

最后

强烈建议生产环境尽快升级到最新版本，同时关注后续的 async_hooks DoS 缓解方案。

今天的分享就这些了，感谢大家的阅读，如果文章中存在错误的地方欢迎指正！

往期精彩推荐

• pnpm + monorepo 才是 AI 协同开发的最佳方案！
• 紧急！React 19 RSC、RSF 存在严重漏洞，官方发布紧急修复版本！
• 坏了，又快失业了！Gemini3 pro Antigravity 快速体验！震撼还原 UI 稿！
• 更多精彩文章欢迎关注我的公众号