Das Node.js-Team hat auf Sicherheitsupdates vom 21. Januar 2025 reagiert, indem es CVEs für End-of-Life (EOL) Versionen zugeordnet hat – CVE-2025-23087 (Node.js v17 und frühere Versionen), CVE-2025-23088 (Node.js v19) sowie CVE-2025-23089 (Node.js v21). Ziel war es, auf die anhaltenden Risiken veralteter Releases hinzuweisen, die weiterhin in vielen Umgebungen eingesetzt werden.
Da das Team aufgrund begrenzter Ressourcen keine detaillierten Bewertungen für über 20 EOL-Versionen durchführen kann, sollen künftig alle neuen CVEs standardmäßig auch EOL-Versionen abdecken, solange keine spezifischen Ausschlussinformationen vorliegen. Nach Rücksprache mit MITRE, HackerOne und weiteren Partnern wurden die ursprünglichen CVEs zwar zurückgewiesen, jedoch werden die bestehenden Schwachstellencodes entsprechend aktualisiert, um den Sicherheitsrisiken älterer Node.js-Versionen gerecht zu werden.
Organisationen und Entwickler, die auf veraltete Releases setzen, werden dringend aufgefordert, sich der erhöhten Risiken bewusst zu sein und auf aktuelle Versionen umzusteigen oder kommerzielle Support-Optionen in Anspruch zu nehmen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: