Node.js, 13 Ocak 2026’da aktif sürüm hatlarında kritik güvenlik güncellemeleri yayınlayarak bellek sızıntılarına, hizmet reddi saldırılarına ve izin atlamalarına yol açabilecek güvenlik açıklarını düzeltti.
Bu sürümler, diğerlerinin yanı sıra üç yüksek önem dereceli kusuru ele alıyor ve etkilenen sistemler için acil yükseltme çağrısı yapıyor.
Yüksek Derecede Güvenlik Açıkları
Bu sürümde yüksek önem derecesine sahip sorunlar hakimdir; CVE-2025-55131, vm modülündeki zaman aşımı yarışları nedeniyle Buffer.alloc ve Uint8Array’de başlatılmamış belleği açığa çıkarır ve potansiyel olarak belirteçler gibi sırları sızdırır.
CVE-2025-55130, sembolik bağlantı saldırılarının –allow-fs-read gibi dosya sistemi izin işaretlerinden kaçmasına izin vererek rastgele dosya erişimine olanak tanır. CVE-2025-59465, hatalı biçimlendirilmiş HEADERS çerçeveleri aracılığıyla HTTP/2 sunucularını çökertiyor ve uzak DoS için işlenmeyen TLSSocket hatalarını tetikliyor.
| CVE Kimliği | Şiddet | Açıklama Özeti | Etkilenen Sürümler | Muhabir/Fiksör |
|---|---|---|---|---|
| CVE-2025-55131 | Yüksek | Tampon ayırma yarışı önceki verileri ortaya çıkarır | 20.x,22.x,24.x,25.x | Nikita Skovoroda/RafaelGSS |
| CVE-2025-55130 | Yüksek | Symlink FS izinlerini atlar | 20.x,22.x,24.x,25.x | bekle/RafaelGSS |
| CVE-2025-59465 | Yüksek | HTTP/2 hatalı biçimlendirilmiş çerçeve sunucunun çökmesine neden oluyor | 20.x,22.x,24.x,25.x | dantt/RafaelGSS |
Orta Derecede Sorunlar
Dört orta düzey güvenlik açığı arasında CVE-2025-59466 yer alıyor; burada async_hooks, DoS işleyicilerini atlayarak yığın taşması hatalarını yakalanamaz hale getiriyor. CVE-2025-59464, OpenSSL UTF-8 dönüşümleri yoluyla TLS istemci sertifikasının işlenmesinde bellek sızdırıyor.
CVE-2026-21636, v25’teki deneysel modelde Unix Etki Alanı Soketleri aracılığıyla ağ izinlerini atlıyor. CVE-2026-21637, TLS PSK/ALPN geri aramalarının sunucuları çökerten veya FD’leri sızdıran istisnalar atmasına olanak tanır.
| CVE Kimliği | Şiddet | Açıklama Özeti | Etkilenen Sürümler | Muhabir/Fiksör |
|---|---|---|---|---|
| CVE-2025-59466 | Orta | Async_hooks aracılığıyla yakalanamayan yığın hataları | 20.x,22.x,24.x,25.x | AndrewMacPherson/mcollina |
| CVE-2025-59464 | Orta | TLS sertifikası bellek sızıntısı | 20.x,22.x,24.x | dev_karıncayiyen/RafaelGSS |
| CVE-2026-21636 | Orta | UDS ağ izinlerini atlar | 25.x | mufeedvh/RafaelGSS |
| CVE-2026-21637 | Orta | TLS geri çağırma istisnaları DoS/FD sızıntısına neden oluyor | Hepsi PSK/ALPN’li | 0xmaxhax/mcollina |
Düşük Önem Düzeyinde Düzeltme
CVE-2025-55132, fs.futimes() işlevinin yazma izinleri olmadan zaman damgalarını değiştirmesine izin vererek v20’den v25’e kadar izin modellerinde salt okunur izolasyonu zayıflatır.
Güncellemeler, genel güvenlik açıklarını gidermek için c-ares 1.34.6 ve undic’i (6.23.0 veya 7.18.0) içerir. Yeni sürümler arasında standart kanallar aracılığıyla kullanılabilen Node.js 20.20.0, 22.22.0, 24.13.0 ve 25.3.0 bulunmaktadır.
Node.js, kullanım ömrü sonu dalları açıkta kaldığından, kullanıcıları özellikle üretim HTTP/2 sunucuları ve izinlerin etkin olduğu ortamlar için yükseltmelere öncelik vermeye teşvik ediyor.
Node.js ekibi, ekosistemin güvenliğinin sağlanmasında topluluk işbirliğini vurgulayarak, açıklamalar için birden fazla araştırmacıya teşekkür ediyor. Birden fazla erteleme, bugünkü kullanıma sunmadan önce kapsamlı testlerin yapılmasını sağladı.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
