「Node.js」に脆弱性 - 各ブランチ向けにアップデート

「Node.js」の開発チームは、現地時間5月14日に複数の脆弱性を修正するセキュリティアップデートを公開した。

ブランチによって影響を受ける脆弱性は異なるが、事前予告が行われた3件の脆弱性に対処している。

「CVE-2025-23166」は、暗号処理中の例外処理に問題があり、プロセスがクラッシュするおそれがある脆弱性。重要度を「高（High）」としており、いずれのブランチも影響を受ける。

一方「CVE-2025-23167」は、「llhttp」のHTTPヘッダの終端処理における不備に起因。不正な改行シーケンスによりプロキシのアクセス制御を回避して「リクエストスマグリング」が可能となる。重要度は1段階低い「中（Medium）」とした。

あわせてメモリが枯渇し、サービス拒否に陥るおそれがある重要度「低（Low）」の脆弱性「CVE-2025-23165」が明らかとなっている。

開発チームは、これら脆弱性を修正した「Node.js 24.0.2」「同23.11.1」「同22.15.1」「同20.19.2」を公開しており、ユーザーにすみやかなアップデートを推奨している。

（Security NEXT - 2025/05/16 ） ツイート

PR

関連記事

組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
「GitLab」にセキュリティアップデート - 脆弱性7件を解消
米政府、「HPE OneView」「PowerPoint」の脆弱性悪用に注意喚起
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み
国内で「MongoBleed」悪用被害は未確認 - 攻撃増加に要警戒
Veeamバックアップ製品に深刻な脆弱性 - 推奨環境ではリスク低減
「Chrome」にセキュリティアップデート - 脆弱性1件を修正
分散ストレージ「RustFS」に認証回避の深刻な脆弱性
SUSE「Harvester」インストーラに脆弱性 - 初期PWでSSH接続可能