Node.js 20.x < 20.20.0 / 22.x < 22.22.0 / 24.x < 24.13.0 / 24.x < 24.13.0 / 25.x < 25.3.0 複数の脆弱性 (2026 年 1 月 13 日火曜日のセキュリティリリース)。
medium Nessus プラグイン ID 282656
Language:
概要
Node.js - JavaScript Runtime Environment は複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている Node.js のバージョンは、20.20.0、22.22.0、24.13.0、24.13.0、25.3.0 より前のものです。したがって、2026 年 1 月 13 日火曜日のセキュリティリリースのアドバイザリに記載されている複数の脆弱性の影響を受けます。- Node.js の権限モデルの欠陥により、プロセスに読み取り権限しかない場合でも、futimes() を通じてファイルのアクセスと変更のタイムスタンプが変更される可能性があります。utimes() とは異なり、futimes() は期待される書き込み権限チェックを適用しません。これは、ファイルメタデータが読み取り専用ディレクトリで変更される可能性があることを意味します。この動作は、アクティビティを不明瞭にする形でタイムスタンプを変更するために悪用される可能性があり、ログの信頼性を低下させます。(CVE-2025-55132)
- Node.js のバッファ割り当てロジックの欠陥により、タイムアウトオプションで vm モジュールを使用する際、割り当てが中断されたときに初期化されていないメモリが漏洩する可能性があります。特定のタイミング条件下で、Buffer.alloc および Uint8Array などの他の TypedArray インスタンスに割り当てられたバッファには、以前の操作からの残っているデータが含まれることがあります。これにより、トークンやパスワードなどのプロセス中の機密情報が漏洩したり、データが破損したりすることができます。通常、エクスプロイトには正確なタイミングまたはプロセス内のコード実行が必要ですが、信頼できない入力がワークロードやタイムアウトに影響すると、リモートからエクスプロイトされる可能性があり、機密性と整合性に潜在的な影響が生じます。影響: この脆弱性を報告および修正してくれた Nikita Skovoroda 氏に感謝の意を表します。(CVE-2025-55131)
- Node.js の Permissions モデルの欠陥により、攻撃者が細工された相対シンボリックリンクパスを使用して、--allow-fs-read および --allow-fs-write の制限をバイパスする可能性があります。ディレクトリとシンボリックリンクを連鎖させることにより、現在のディレクトリへのアクセスのみを許可されたスクリプトは、許可されたパスを回避して機密ファイルを読み取る可能性があります。これにより、期待される分離の保証が破られ、任意のファイルの読み取り/書き込みが可能になり、システムが危険にさらされる可能性があります。この脆弱性を報告してくれた natann 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。(CVE-2025-55130)
- サイズが大きすぎる無効な HPACK データのある無効な形式の HTTP/2 HEADERS フレームにより、処理されていない TLSSocket エラー ECONNRESET を発生させることで、Node.js がクラッシュする可能性があります。接続を安全に閉じる代わりに、プロセスがクラッシュし、リモートのサービス拒否が引き起こされる可能性があります。これは主に、明示的なエラーハンドラーをセキュアソケットに接続しないアプリケーションに影響します。例: server.on('secureConnection', socket => {socket.on('error', err => { console.log(err); }); }); JavaScript クリップボードにコピー。影響: この脆弱性を報告してくれた dantt と、それを修正してくれた RafaelGSS に感謝します。(CVE-2025-59465)
- async_hooks.createHook() が有効になっている場合に、最大呼び出しスタックサイズ超過エラーがキャッチできなくなるという Node.js エラー処理のバグを特定しました。process.on('uncaughtException') に到達する代わりに、プロセスが終了し、クラッシュが回復不能になります。AsyncLocalStorage (v22、v20) または async_hooks.createHook() (v24、v22、v20) に依存するアプリケーションは、特定の条件下での深い再帰によって引き起こされるサービス拒否クラッシュに対して脆弱になります。このパッチにより、あるエッジケースでの回復性は向上しますが、より広範なリスクは除去されません。スペース不足からの回復は不特定かつベストエフォートの動作であり、可用性やセキュリティの信頼できる前提にはなりません。信頼できない入力によって再帰の深さが影響を受ける可能性がある可用性のクリティカルパスでは、スタックスペースの枯渇動作やランタイム/エンジンでの末尾呼び出しの最適化の欠如に依存するのではなく、入力検証と再帰を制限または回避する設計を優先します。詳細については、このブログ投稿を参照してください。影響: この脆弱性を特定してくれた Andrew MacPherson 氏 (AndrewMohawk) と、この脆弱性を報告してくれた aaron_vercel、そしてこの脆弱性を修正してくれた mcollina に感謝の意を表します。
(CVE-2025-59466)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Node.js のバージョンを 20.20.0 / 22.22.0 / 24.13.0 / 24.13.0 / 25.3.0 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 282656
ファイル名: nodejs_2026_jan_13.nasl
バージョン: 1.4
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/1/13
更新日: 2026/1/19
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Low
基本値: 2.1
現状値: 1.6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2025-59465
CVSS v3
リスクファクター: Low
基本値: 3.3
現状値: 2.9
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: Medium
Base Score: 4.8
Threat Score: 1.1
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
脆弱性情報
CPE: cpe:/a:nodejs:node.js
必要な KB アイテム: installed_sw/Node.js
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/1/13
脆弱性公開日: 2026/1/13
参照情報
CVE: CVE-2025-55130, CVE-2025-55131, CVE-2025-55132, CVE-2025-59464, CVE-2025-59465, CVE-2025-59466, CVE-2026-21636, CVE-2026-21637
IAVB: 2026-B-0013