Разработчики Node.js выпустили критически важное обновление безопасности для устранения уязвимости, приводящей к отказу в обслуживании (DoS). Проблема затрагивает «практически каждое продакшн-приложение на Node.js» из-за особенностей обработки переполнения стека при включенных асинхронных хуках. Ошибка возникает в момент исчерпания пространства стека (stack space exhaustion): вместо того чтобы выбросить перехватываемую ошибку, как это обычно делают Node.js и движок V8, процесс немедленно завершает работу. Приложение падает с кодом выхода 7, который определяется как «Сбой времени выполнения внутреннего обработчика исключений» ("Internal Exception Handler Run-Time Failure").
Корень проблемы кроется в низкоуровневом API
Масштаб воздействия уязвимости огромен, так как она затрагивает всю экосистему инструментов, полагающихся на
Уязвимости был присвоен идентификатор CVE-2025-59466 с оценкой серьезности CVSS 7.5. Разработанное исправление обнаруживает ошибки переполнения стека и повторно выбрасывает их в пользовательский код, делая их не фатальными, вместо того чтобы допускать крах процесса. Однако в Node.js классифицируют это решение скорее как «смягчение последствий» (mitigation), а не полное лечение. Это связано с тем, что исчерпание стека не является частью спецификации ECMAScript, движок V8 JavaScript не рассматривает это как проблему безопасности, а обработчик «uncaughtException» имеет свои ограничения.
Информация об уязвимости была обнародована в бюллетене, выпущенном во вторник, при участии Маттео Коллины (Matteo Collina) и Джойи Чунга (Joyee Cheung). Исторический анализ показывает, что проблема существовала годами: впервые
Для защиты инфраструктуры пользователям и хостинг-провайдерам необходимо как можно скорее обновить свои среды выполнения. Безопасными являются пропатченные версии Node.js: 20.20.0 (LTS), 22.22.0 (LTS), 24.13.0 (LTS) и текущая версия 25.3.0. Важно отметить, что все версии от 8.x до 18.x находятся в статусе End-of-Life (EoL) и останутся без исправлений, что делает их эксплуатацию крайне рискованной.
Помимо основной проблемы с переполнением стека, разработчики Node.js устранили еще три уязвимости высокой степени серьезности. CVE-2025-55131 может быть использована для утечки или повреждения данных. CVE-2025-55130 позволяет злоумышленникам читать конфиденциальные файлы, используя специально созданные пути с относительными символическими ссылками (symlink). Третья уязвимость, CVE-2025-59465, также может привести к удаленному отказу в обслуживании.
Выпуск данного обновления безопасности продиктован широким влиянием проблемы на экосистему и необходимостью улучшить предсказуемость работы приложений для разработчиков. Мейнтейнерам проектов рекомендуется внедрить надежные механизмы защиты от исчерпания стека, чтобы гарантировать доступность сервисов, а администраторам — незамедлительно перейти на актуальные версии LTS или Current.
Изображение носит иллюстративный характер
Корень проблемы кроется в низкоуровневом API
async_hooks, который используется для отслеживания жизненного цикла асинхронных ресурсов, таких как запросы к базам данных, таймеры или HTTP-запросы. Конкретным вектором уязвимости является компонент AsyncLocalStorage, построенный поверх async_hooks для хранения данных на протяжении всего времени жизни асинхронной операции. Вектор атаки связан с рекурсией: приложения, в которых глубина рекурсии контролируется несанкционированным пользовательским вводом, становятся уязвимыми для DoS-атак, вызывающих мгновенное падение сервера. Масштаб воздействия уязвимости огромен, так как она затрагивает всю экосистему инструментов, полагающихся на
AsyncLocalStorage. В зону риска попадают популярные фреймворки, такие как React Server Components и Next.js. Кроме того, под угрозой находятся инструменты мониторинга производительности приложений (APM), включая Datadog, New Relic, Dynatrace, Elastic APM и OpenTelemetry. Любой сервис, использующий эти технологии без соответствующего патча, подвержен риску внезапного прекращения работы. Уязвимости был присвоен идентификатор CVE-2025-59466 с оценкой серьезности CVSS 7.5. Разработанное исправление обнаруживает ошибки переполнения стека и повторно выбрасывает их в пользовательский код, делая их не фатальными, вместо того чтобы допускать крах процесса. Однако в Node.js классифицируют это решение скорее как «смягчение последствий» (mitigation), а не полное лечение. Это связано с тем, что исчерпание стека не является частью спецификации ECMAScript, движок V8 JavaScript не рассматривает это как проблему безопасности, а обработчик «uncaughtException» имеет свои ограничения.
Информация об уязвимости была обнародована в бюллетене, выпущенном во вторник, при участии Маттео Коллины (Matteo Collina) и Джойи Чунга (Joyee Cheung). Исторический анализ показывает, что проблема существовала годами: впервые
async_hooks появились в Node.js 8.x. Версия Node.js 8.0.0 под кодовым названием Carbon была выпущена еще 30 мая 2017 года. Это означает, что архитектурная предпосылка для данной ошибки присутствовала в платформе на протяжении длительного времени. Для защиты инфраструктуры пользователям и хостинг-провайдерам необходимо как можно скорее обновить свои среды выполнения. Безопасными являются пропатченные версии Node.js: 20.20.0 (LTS), 22.22.0 (LTS), 24.13.0 (LTS) и текущая версия 25.3.0. Важно отметить, что все версии от 8.x до 18.x находятся в статусе End-of-Life (EoL) и останутся без исправлений, что делает их эксплуатацию крайне рискованной.
Помимо основной проблемы с переполнением стека, разработчики Node.js устранили еще три уязвимости высокой степени серьезности. CVE-2025-55131 может быть использована для утечки или повреждения данных. CVE-2025-55130 позволяет злоумышленникам читать конфиденциальные файлы, используя специально созданные пути с относительными символическими ссылками (symlink). Третья уязвимость, CVE-2025-59465, также может привести к удаленному отказу в обслуживании.
Выпуск данного обновления безопасности продиктован широким влиянием проблемы на экосистему и необходимостью улучшить предсказуемость работы приложений для разработчиков. Мейнтейнерам проектов рекомендуется внедрить надежные механизмы защиты от исчерпания стека, чтобы гарантировать доступность сервисов, а администраторам — незамедлительно перейти на актуальные версии LTS или Current.
