Node.js修補堆疊耗盡DoS風險,React、Next.js與應用效能監控工具受波及
安全更新重點說明
Node.js專案釋出安全更新,修補多項弱點。官方特別提醒CVE-2025-59466漏洞可能在特定非同步追蹤機制(async_hooks)啟用時,讓堆疊耗盡的錯誤處理失效而造成程序異常退出,進而產生DoS風險。
影響範圍
此漏洞影響範圍涵蓋使用React、Next.js或導入應用效能監控工具(APM)的服務,特別是在啟用async_hooks機制的部署情境下。
相關建議
- 開發者應立即檢查應用程式是否啟用了async_hooks機制。
- 若發現相關設定,建議立即升級至最新安全版本以避免風險。
- 針對Next.js與React生態系統的使用者,應審視應用中是否引入了受影響的組件或框架。
其他相關漏洞
此外,React生態系統近期亦爆發另一重大資安漏洞CVE-2025-55182,該漏洞源自研究人員Lachlan Davidson的發現,涉及伺服器解碼RSC請求過程中的不安全反序列化錯誤,被評為CVSS 10分的最高危險等級。