Node.js-Updates bessern hochriskante Schwachstellen aus

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

In der populären JavaScript-Laufzeitumgebung Node.js wurden mehrere Sicherheitslücken entdeckt, die teils mit hohem Risiko eingestuft werden. Jetzt sind für bereits Mitte Dezember angekündigte aktualisierte Versionen erschienen, die die Schwachstellen ausbessern. Entwickler sollten sicherstellen, dass die fehlerbereinigten Fassungen zeitnah zum Einsatz kommen.

In der Ankündigung vom Dienstag dieser Woche schreiben die Node.js-Entwickler, dass die Updates drei Sicherheitslücken mit hohem Risiko, vier mit mittlerem und ein Leck mit niedriger Risikoeinstufung schließen. Angreifer können sie missbrauchen, um etwa eingeschleusten Schadcode auszuführen, ihre Rechte auszuweiten, Sicherheitsmaßnahmen zu umgehen und Daten zu manipulieren oder vertrauliche Informationen abzugreifen, wie das CERT-Bund zusammenfasst. Außerdem enthalten die Sicherheits-Releases aktualisierte Abhängigkeiten, um öffentlich bekannte Schwachstellen anzugehen, und zwar „c-ares“ in Version 1.34.6 und „undici“ in den Fassungen 6.23.0 und 7.18.0.

Hochriskante Sicherheitslücken

In der Programmlogik zum Allokieren von Puffern kann nicht initialisierter Speicher offengelegt werden, wenn das „vm“-Modul mit einem Timeout verwendet und die Allokierung des Speichers davon unterbrochen wird (CVE-2025-55131, CVSS 8.1, Risiko „hoch“). Die Restriktionen mit den Optionen --allow-fs-read und --allow-fs-write ließen sich außerdem durch das Zusammensetzen von relativen Symlink-Pfaden umgehen (CVE-2025-55130, CVSS 7.7, Risiko „hoch“). Ein präparierter „HTTP/2 HEADERS“-Frame mit übergroßen und ungültigen „HPACK“-Daten kann Node.js zum Abstürzen bringen, was in einem Denial-of-Service mündet (CVE-2025-59465, CVSS 7.5, Risiko „hoch“).

Details zu den mittelschweren sowie den als niedriges Risiko eingestuften Schwachstellen finden Interessierte in der Ankündigung der Node.js-Entwickler. Die Schwachstellen sind in den Versionen Node.js 25.3.0, 24.13.0, 22.22.0 und 20.20.0 sowie neueren nicht mehr vorhanden. Die Aktualisierungen sollten Nutzerinnen und Nutzer zeitnah vornehmen.

Im vergangenen September konnte ein Kryptowährungsdieb mit einer Spearphishing-Attacke Zugriff auf das npm-Konto eines Entwicklers erlangen – npm ist die Paketverwaltung für Node.js-Pakete. Damit gelang dem bösartigen Akteur, Schadcode in rund 20 Pakete des Entwicklers qix, die zusammen auf mehr als zwei Milliarden wöchentliche Downloads kommen.

Siehe auch:

• Node.js: Download schnell und sicher von heise.de

(dmk)