Node.js — Tuesday, January 13, 2026 Security Releases
https://gyazo.com/db1b80cb0da4314a431af278ccf3cfb4
https://nodejs.org/en/blog/vulnerability/december-2025-security-releases
高危険度(High) 3件
Buffer.alloc / Uint8Array が非ゼロ初期化になる競合バグ(CVE-2025-55131)
タイミング次第で未初期化メモリが漏洩する可能性
使用例
サンドボックス実行(vm.runInContext)でユーザーコードを実行しているサービス
画像処理・暗号処理などで大量の Buffer を扱う APIを使用している
Web サーバーでリクエストサイズに応じて Buffer を確保する処理
シンボリックリンクを悪用したファイルシステム権限のバイパス(CVE-2025-55130)
--allow-fs-read/write を回避して任意ファイルにアクセス可能
Web アプリで /tmp/uploads にファイルを保存する処理
/tmp/uploads/profile.png が実は `/etc/passwd{ への symlink だった、など
CLI ツールで --allow-fs-read=. を指定しているが、symlink 経由で外へ出られる
不正な HTTP/2 HEADERS フレームでサーバーがクラッシュ(CVE-2025-59465)
エラーハンドラ未設定の TLS ソケットで DoS が発生
gRPC / HTTP/2 API サーバー
HTTP/2 を有効にした Express / Fastify / Koa の構成
CDN や外部クライアントから HTTP/2 を受けるサービス
code:js
// ❌ 危険:error ハンドラがない
server.on('secureConnection', socket => {
// socket.on('error', ...) がない
});
中危険度(Medium) 4件
async_hooks 利用時の「Maximum call stack size exceeded」が捕捉不能(CVE-2025-59466)
深い再帰でプロセスが強制終了
TLS クライアント証明書処理でメモリリーク(CVE-2025-59464)
繰り返し接続でメモリ枯渇
UDS(Unix Domain Socket)経由でネットワーク権限をバイパス(CVE-2026-21636)
--permission 使用時にローカル特権サービスへ接続可能
TLS PSK/ALPN コールバック例外がエラーハンドラをバイパス(CVE-2026-21637)
プロセス終了や FD リークによる DoS
低危険度(Low)1件
futimes() が読み取り専用権限をバイパス(CVE-2025-55132)
タイムスタンプ改ざんが可能