Node.js veröffentlicht umfangreiche Security-Updates für mehrere Versionen

Das Node.js-Projekt hat am Dienstag, den 13. Januar 2026, neue Sicherheitsupdates für die aktiven Release-Linien 20.x, 22.x, 24.x und 25.x bereitgestellt. Insgesamt beheben die Updates drei Schwachstellen mit hoher, vier mit mittlerer und eine mit niedriger Kritikalität.

Zu den schwerwiegendsten Problemen zählen ein Speicherleck bei der Buffer-Initialisierung (CVE-2025-55131), das unter bestimmten Timing-Bedingungen zur Offenlegung sensibler Daten führen kann, sowie mehrere Umgehungen des experimentellen Permission-Modells. Dazu gehören unter anderem ein Symlink-basierter Bypass von Dateisystem-Beschränkungen (CVE-2025-55130) und ungeprüfte Unix-Domain-Socket-Verbindungen (CVE-2026-21636). Ebenfalls kritisch ist eine Denial-of-Service-Schwachstelle im HTTP/2-Server, die durch speziell präparierte HEADERS-Frames Prozessabstürze auslösen kann.

Weitere Fixes betreffen unter anderem Abstürze durch nicht abfangbare Stack-Overflow-Fehler bei aktivierten async_hooks, Speicherlecks im TLS-Zertifikats-Handling sowie Fehler in TLS-Callbacks, die zu Ressourcenerschöpfung führen können. Ergänzend wurden Abhängigkeiten wie c-ares und undici auf sichere Versionen aktualisiert.

Die Sicherheitsupdates sind in den neuen Versionen Node.js 20.20.0, 22.22.0, 24.13.0 und 25.3.0 enthalten. Das Node.js-Projekt empfiehlt dringend, zeitnah auf die aktuellen Versionen zu aktualisieren, da auch End-of-Life-Versionen grundsätzlich als betroffen gelten.

Related Posts

SUSE Virtualization: Kritische SSH-Lücke im interaktiven Installer entdeckt

In SUSE Virtualization (Harvester) wurde eine kritische Sicherheitslücke identifiziert, die unautorisierten SSH-Zugriff auf Hosts ermöglicht. Betroffen sind die Versionen 1.5.x und 1.6.x, sofern der interaktive Installer zur Erstellung eines neuen Clusters oder zum Hinzufügen weiterer Hosts genutzt wird. Die Schwachstelle wird unter CVE-2025-62877 geführt und mit einem CVSS-Score von 9.8 als kritisch eingestuft.

Read More

HPE OneView: Kritische Code-Injection ermöglicht unauthentifizierte Remote-Code-Ausführung

Hewlett Packard Enterprise warnt vor einer kritischen Sicherheitslücke in HPE OneView, die es entfernten, nicht authentifizierten Angreifern erlaubt, beliebigen Code auszuführen. Die Schwachstelle wird unter CVE-2025-37164 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.

Read More

APT-Gruppe UAT-7290 greift Edge- und Netzwerkgeräte zu Spionagezwecken an

Cisco Talos warnt vor einer hochentwickelten Bedrohungsgruppe mit der Bezeichnung UAT-7290, die seit mindestens 2022 aktiv ist und gezielt Telekommunikationsinfrastrukturen in Südasien angreift. In den vergangenen Monaten wurde zudem eine Ausweitung der Aktivitäten auf Südosteuropa beobachtet. Talos stuft die Gruppe mit hoher Sicherheit als China-nahen Advanced Persistent Threat ein.

Read More