Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Node.js」に脆弱性 - 各ブランチ向けにアップデート

「Node.js」の開発チームは、現地時間5月14日に複数の脆弱性を修正するセキュリティアップデートを公開した。

ブランチによって影響を受ける脆弱性は異なるが、事前予告が行われた3件の脆弱性に対処している。

「CVE-2025-23166」は、暗号処理中の例外処理に問題があり、プロセスがクラッシュするおそれがある脆弱性。重要度を「高(High)」としており、いずれのブランチも影響を受ける。

一方「CVE-2025-23167」は、「llhttp」のHTTPヘッダの終端処理における不備に起因。不正な改行シーケンスによりプロキシのアクセス制御を回避して「リクエストスマグリング」が可能となる。重要度は1段階低い「中(Medium)」とした。

あわせてメモリが枯渇し、サービス拒否に陥るおそれがある重要度「低(Low)」の脆弱性「CVE-2025-23165」が明らかとなっている。

開発チームは、これら脆弱性を修正した「Node.js 24.0.2」「同23.11.1」「同22.15.1」「同20.19.2」を公開しており、ユーザーにすみやかなアップデートを推奨している。

(Security NEXT - 2025/05/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「openSUSE Tumbleweed」の「cyrus-imapd」に深刻な脆弱性
「Argo CD」に脆弱性 - Kubernetesリソースを操作されるおそれ
「Thunderbird 139」で重大脆弱性 - 採番CVEに見直しの可能性
「Netwrix Directory Manager」に深刻な脆弱性 - 早急に対応を
「BIND 9」に緊急脆弱性 - 1パケットでDoS攻撃が可能
「VMware Avi Load Balancer」にブラインドSQLi脆弱性
LLM向け開発フレームワーク「Langroid」に脆弱性 - 公開アプリで影響大
「Microsoft Edge」の更新プログラムに脆弱性 - 修正を実施
「Firefox 139」を公開 - 「クリティカル」脆弱性に対処
大規模言語モデル用推論エンジン「vLLM」にRCE脆弱性

OSZAR »