Node.js 于近日紧急推送了一轮安全更新，一次性覆盖了当前活跃的多个 LTS 与 Current 版本，修复了数个高/中危级别的安全漏洞。

如果你线上仍有 Node.js 服务在运行，这条消息必须立刻重视起来。

此次更新并非例行维护，而是一次针对多个高危漏洞的集中修复，影响到多个长期支持版本与当前版本。

部分漏洞若被利用，可直接导致数据泄露、权限绕过或引发服务崩溃的拒绝服务攻击。

发生了什么？

根据官方发布的安全公告，本次更新修复了一系列安全问题，涉及以下关键模块：

不安全的Buffer构造函数 符号链接权限校验缺失 TLS/网络相关异常处理问题 async_hooks引发的栈溢出与进程崩溃

公告中已明确标注多个漏洞为“高危”级别。

关键漏洞一览（最新 CVE）

（1） 高危漏洞（强烈建议立即升级）

CVE-2025-55131：不安全的Buffer创建方式，可能导致敏感数据泄露。 CVE-2025-55130：符号链接API权限校验不足，可绕过限制读取敏感文件。 CVE-2025-59465：TLSSocket缺少错误处理器，可被利用触发拒绝服务。

（2） 中危漏洞（稳定性与可用性风险）

CVE-2025-59466：async_hooks栈溢出，可直接导致Node进程崩溃。 CVE-2025-59464：TLS客户端证书处理存在内存泄漏风险，可能导致远程拒绝服务。 CVE-2026-21636 / 21637：Pipe / TLS回调异常未正确校验或处理。

谁最容易“中招”？

根据安全分析，这些漏洞的影响范围极广，几乎波及所有在生产环境中运行的Node.js应用。

尤其是采用以下技术栈的应用风险更高：

使用Next.js / React Server Components的框架 依赖AsyncLocalStorage能力的库或应用 使用Datadog、New Relic、Dynatrace、Elastic APM、OpenTelemetry等APM工具的应用

只要你的应用使用了async_hooks或依赖其功能，基本都在潜在影响范围内。

特别注意：老版本无最新修复

官方同时强调：

Node.js 8.x 至 18.x 版本均已结束生命周期支持。 这些已停止维护的版本确认存在漏洞，但将不会再获得任何安全补丁。

继续使用这些旧版本，等同于让线上服务长期暴露在已知的安全风险之中。

建议升级的安全版本

官方建议立即将Node.js升级至以下任一最新安全版本：

20.20.0（LTS） 22.22.0（LTS） 24.13.0 25.3.0（Current）

只要升级到上述或更高版本，即可完全覆盖本次披露的所有安全漏洞。

最新与权威来源

Node.js 官方安全公告 The Hacker News 相关安全分析

（以上内容基于最新官方公告整理）