Node.js發布安全更新,修補可能導致服務中斷與程式當機的漏洞
漏洞重點說明
這次Node.js修補的9個漏洞中,最受矚目的是編號CVE-2026-21637的高風險漏洞,由於TLS錯誤處理問題,當TLS用戶端傳送異常的servername值時,可能導致Node.js服務中斷與程式當機。
漏洞影響範圍
- 部分漏洞涉及TLS錯誤處理及HTTP標頭機制,可能被遠端攻擊者利用以觸發阻斷服務狀況。
- 遠端攻擊者可透過特製網頁利用漏洞,導致目標系統觸發服務中斷或繞過保安限制。
- 多個漏洞影響核心runtime,可能導致惡意程式碼執行或服務中斷。
- 其中CVE-2025-27210與CVE-2025-27209為高危漏洞,涉及路徑遍歷與哈希碰撞拒絕服務,影響範圍廣泛。
- 漏洞也可能導致記憶體洩漏、拒絕服務(DoS)與權限繞過等風險。
官方建議
Node.js團隊強調,所有使用者應盡速更新至最新版本,以確保系統安全與穩定運作。官方特別提醒,針對24.x、23.x、22.x與20.x版本系列的系統,需立即安裝關鍵安全更新。