Das Node.js-Projekt hat am Dienstag, den 13. Januar 2026, neue Sicherheitsupdates für die aktiven Release-Linien 20.x, 22.x, 24.x und 25.x bereitgestellt. Insgesamt beheben die Updates drei Schwachstellen mit hoher, vier mit mittlerer und eine mit niedriger Kritikalität.
Zu den schwerwiegendsten Problemen zählen ein Speicherleck bei der Buffer-Initialisierung (CVE-2025-55131), das unter bestimmten Timing-Bedingungen zur Offenlegung sensibler Daten führen kann, sowie mehrere Umgehungen des experimentellen Permission-Modells. Dazu gehören unter anderem ein Symlink-basierter Bypass von Dateisystem-Beschränkungen (CVE-2025-55130) und ungeprüfte Unix-Domain-Socket-Verbindungen (CVE-2026-21636). Ebenfalls kritisch ist eine Denial-of-Service-Schwachstelle im HTTP/2-Server, die durch speziell präparierte HEADERS-Frames Prozessabstürze auslösen kann.
Weitere Fixes betreffen unter anderem Abstürze durch nicht abfangbare Stack-Overflow-Fehler bei aktivierten async_hooks, Speicherlecks im TLS-Zertifikats-Handling sowie Fehler in TLS-Callbacks, die zu Ressourcenerschöpfung führen können. Ergänzend wurden Abhängigkeiten wie c-ares und undici auf sichere Versionen aktualisiert.
Die Sicherheitsupdates sind in den neuen Versionen Node.js 20.20.0, 22.22.0, 24.13.0 und 25.3.0 enthalten. Das Node.js-Projekt empfiehlt dringend, zeitnah auf die aktuellen Versionen zu aktualisieren, da auch End-of-Life-Versionen grundsätzlich als betroffen gelten.
