Post #1202

#security NodeJS 大冲击（ CVE-2025-55131 设置超时条件下存在竞态条件导致分配出来的内存未初始化，可能包含敏感数据。 CVE-2025-55130 攻击者可使用symlink来绕过 NodeJS 设置的文件读写限制。 CVE-2025-59465 恶意构造的HTTP/2 HPACK数据会使 NodeJS 进程崩溃 CVE-2025-59466 async_hook 存在问题导致攻击者可以用非常深的递归使 NodeJS 进程崩溃 CVE-2025-59464 NodeJS 在处理 SSL 客户端证书时会产生内存泄漏。 CVE-2026-21636 攻击者可以连接UNIX Socket来绕过网络限制 CVE-2026-21637 NodeJS 在处理 pskCallback / ALPNCallback 未能正确处理异常导致内存/文件描述符泄露 CVE-2025-55132 只读权限下 futimes() 依然可以用来修改文件 atime/mtime https://nodejs.org/en/blog/vulnerability/december-2025-security-releases