Node.jsにサービス停止や権限回避の脆弱性 直ちに最新版に更新を：セキュリティニュースアラート

Node.jsは、全サポート系統を対象に複数の脆弱性を修正するセキュリティアップデートを公開した。重要度が高いVMモジュールのメモリ初期化不備や権限回避、HTTP/2の停止問題などへの対応が含まれる。利用者は速やかに最新版への更新が求められる。

[ITmedia エンタープライズ編集部]

　Node.jsは2026年1月13日（現地時間）、複数の脆弱（ぜいじゃく）性に対処するセキュリティアップデートを公開した。

　対象は現在サポート中の25.x、24.x、22.x、20.xの各リリース系統で、深刻度「高」（High）が3件、「中」（Medium）が4件、「低」（Low）が1件含まれる。今回の更新では公開済みの脆弱性に対応する目的で、依存コンポーネントの更新も実施されている。

Node.jsが複数の脆弱性に対処、全系統で修正版を公開

　依存関係の更新内容としては、DNS関連ライブラリーの「c-ares」がバージョン1.34.6に引き上げられ、HTTPクライアントの「undici」も6.23.0および7.18.0に更新された。これらは20.x〜25.xまでの各系統に適用される。

　深刻度「高」の脆弱性の一つは、VMモジュールでタイムアウト指定を使用した際に発生する競合状態に起因するもので、CVE-2025-55131として識別されている。特定の条件下で「Buffer.alloc」や「Uint8Array」などがゼロ初期化されず、以前の処理で使用されたメモリ内容が残存する可能性がある。

　結果として、同一プロセス内のトークンやパスワードの漏えいや、データ破損が生じたりする恐れがある。この問題は20.x、22.x、24.x、25.xの全利用者に影響する。

　別の問題として、細工されたシンボリックリンクを使うことでファイルシステムの権限管理を回避できる欠陥（CVE-2025-55130）が確認された。この脆弱性は「--allow-fs-read」や「--allow-fs-write」の制限下にあるスクリプトでも、相対パスとシンボリックリンクを組み合わせることで許可範囲外のファイルに到達できるものだ。想定されていた隔離性が崩れ、機密ファイルの読み書きが可能となる。権限モデルを使用しているv20〜25が対象となる。

　HTTP/2サーバに関する脆弱性（CVE-2025-59465）も深刻度が高い（high）と評価された。本脆弱性では不正な「HEADERS」フレームを受信した際、処理されない「TLSSocket」エラーが発生し、プロセスが終了する問題が確認されている。適切なエラーハンドラーを設定していない構成において、外部からの通信によりサービス停止が引き起こされる可能性がある。

　深刻度「中」の問題としては「async_hooks」を有効化した環境で「Maximum call stack size exceeded」エラーが捕捉されず、プロセスが終了する欠陥（CVE-2025-59466）の修正も含まれる。「AsyncLocalStorage」や「async_hooks.createHook」を使用する構成が影響を受ける。TLSクライアント証明書処理に関するメモリリーク（CVE-2025-59464）も報告されており、繰り返し接続されることでメモリ消費が増大する。

　加えて、UNIXドメインソケット経由でネットワーク制限を回避できる問題（CVE-2026-21636）や、TLSのPSKやALPNコールバックにおける例外処理不備によるサービス停止やファイルディスクリプタ枯渇（CVE-2026-21637）も修正対象となった。前者はv25で権限モデルを使用する利用者が影響を受ける。

　深刻度「低」の問題としては、「fs.futimes」関数が読み取り専用権限下でもタイムスタンプを変更できる欠陥（CVE-2025-55132）が挙げられる。ログの信頼性に影響を与える可能性があり、v20〜25の権限モデル利用者が対象となっている。

　修正版として、Node.js 20.20.0、22.22.0、24.13.0、25.3.0が提供された。サポート終了済みの系統は常に影響を受ける点が示されており、Node.jsは公開されているリリーススケジュールに沿った更新を利用するよう呼びかけている。