El proyecto Node.js anunció, el 21 de enero de 2025, actualizaciones de seguridad disponibles para las versiones 23.x, 22.x, 20.x y 18.x, diseñadas para abordar diversas vulnerabilidades detectadas. Estas actualizaciones incluyen revisiones de dependencias que buscan mitigar amenazas públicas, que se han identificado en las versiones ya mencionadas.
En particular, se ha resaltado una vulnerabilidad relacionada con la herramienta diagnostics_channel, que permite la conexión de eventos cada vez que se genera un subproceso de trabajo. Esta cuestión no se limita solo a los trabajadores, ya que también expone a los trabajadores internos, de donde podría recuperarse una instancia de escucha, lo que permite una posible manipulación para fines maliciosos. Tal vulnerabilidad afecta a los usuarios que implementan el modelo de permiso de Node.js, específicamente en las versiones 20.x, 22.x y 23.x. A todos los usuarios de estas líneas de versiones activas se les recomienda tener cuidado, y se agradeció a los informantes y solucionadores de la vulnerabilidad: leodog896 y RafaelGSS.
Además, se ha identificado otro problema que afecta a la gestión de nombres de unidades en el entorno Windows. Algunas funciones de Node.js no consideran los nombres de unidades como elementos especiales, lo que puede provocar referencias incorrectas a directorios. Específicamente, esta vulnerabilidad se presenta en la API path.join y afecta a todos los usuarios de Windows trabajando en las versiones 18.x, 20.x, 22.x y 23.x. Los usuarios son advertidos sobre el potencial riesgo y se reconoce el trabajo de taise y tniessen por reportar y solucionar esta vulnerabilidad.
Eso no es todo; también se ha descubierto un problema que puede causar una fuga de memoria si un par remoto cierra abruptamente el socket sin notificaciones adecuadas. Esa situación puede agravar el consumo de memoria y resultar en denegaciones de servicio bajo ciertas condiciones. Esta vulnerabilidad está relacionada con el servidor HTTP/2 en las versiones activas de Node.js (v18.x, v20.x, v22.x y v23.x), y nuevamente, se agradece a newtmitch y RafaelGSS por su trabajo en el informe y la resolución de este incidente.
En consecuencia, se planifica el lanzamiento de nuevas versiones de las líneas 23.x, 22.x, 20.x y 18.x para el 21 de enero de 2025, que abordarán tanto un problema de alta gravedad como dos problemas de gravedad media. Cada una de las líneas de versión mencionadas (23.x, 22.x y 20.x) reportan, en conjunto, un problema de alta gravedad y dos de gravedad media. Por su parte, la línea de version 18.x tiene documentados dos problemas de gravedad media.
Es crucial señalar que las versiones que han alcanzado su fin de vida útil (EOL) estarán igualmente afectadas por estas vulnerabilidades a medida que se lancen actualizaciones de seguridad. Se exhorta a todos los usuarios a mantener sus sistemas al día utilizando versiones actualizadas, tal como se describe en el calendario de lanzamientos de Node.js. La política de seguridad vigente se puede consultar en el sitio web oficial de Node.js y se insta a los usuarios a seguir un proceso específico si desean reportar una vulnerabilidad. Para permanecer informado, se recomienda suscribirse a la lista de correo de nodejs-sec, donde se enviarán anuncios de bajo volumen relacionados con las vulnerabilidades de seguridad en Node.js y otros proyectos en GitHub.