El proyecto Node.js emitió una actualización de seguridad de emergencia después de revelar una vulnerabilidad de alta resistencia que podría hacer que un atacante remoto bloquee un proceso de nodo.js, cierre los servicios críticos y cause una amplia gama de servicios en todo el sistema afectado.
Defectos muy severos: CVE-2025-23166
La vulnerabilidad rastreada como CVE-2025-23166 se debe al manejo de errores inapropiados en las operaciones de cifrado asíncrono.
Según el aviso de seguridad Node.js, el problema subyacente se encuentra en el método C ++ SignTraits :: DeriveBits ().
Este defecto permite a los atacantes activar los bloqueos de forma remota en los procesos Node.js al aprovechar las operaciones criptográficas que con frecuencia manejan la entrada no confiable.
Esta vulnerabilidad plantea un gran riesgo para las aplicaciones de nodo.js expuestas a Internet, ya que las operaciones criptográficas son la base de la autenticación, la protección de datos y la comunicación segura.
La explotación puede conducir a interrupciones de servicio inmediatas, interrupciones en las operaciones comerciales y el potencial de afectar a millones de usuarios.
“Este tipo de operación criptográfica se aplica a la entrada que generalmente no se confía. Por lo tanto, este mecanismo puede hacer que los enemigos bloqueen el tiempo de ejecución de Node.js de forma remota”, advirtió el equipo Node.js en su aviso.
Esta vulnerabilidad afecta a todas las líneas de liberación de nodos activos, incluidas las versiones 20.x, 22.x, 23.x y 24.x. El final de la versión de la vida (EOL) también se ve afectada, pero puede no recibir más actualizaciones y se volverá constantemente vulnerable a menos que haya una actualización.
El equipo Node.js también ha abordado otros problemas de seguridad de la última versión, como la falla de análisis de encabezado HTTP Medium Ververity (CVE-2025-23167) y el error de fuga de memoria lenta (CVE-2025-23165) (CVE-2025-23165), pero CVE-2025-23166 es el más desafiante debido a su potencial.
Pidiendo acción urgente
Los desarrolladores y organizaciones que ejecutan Node.js están fuertemente obligados a actualizar de inmediato a la última versión parcheada. Lanzamientos de seguridad para todas las líneas compatibles (20.19.2 (LTS), 22.15.1 (LTS), 23.11.1 (actual) y 24.0.2 (actual)) están disponibles e incluyen correcciones importantes para CVE-2025-23166.
No se puede actualizar el sistema de hoja abierto a bloqueos remotos, confusión de servicio y explotación potencial por parte de actores maliciosos.
El equipo Node.js enfatiza la importancia de mantenerse al día con las versiones de seguridad, especialmente para los entornos de producción donde el tiempo de actividad y la confiabilidad son de suma importancia.
Para obtener una guía detallada y actualizaciones continuas, los usuarios deben consultar la política de seguridad node.js oficial y suscribirse al asesoramiento de seguridad a través de la lista de correo Node.js-Sec.
Una vulnerabilidad Node.js recientemente revelada (CVE-2025-23166) permite a los atacantes que bloquean los procesos de nodo.js de forma remota, amenazando la estabilidad de los servicios en todo el mundo. El parche inmediato es esencial para proteger su sistema y mantener la continuidad operativa.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
