关键漏洞信息 1. 异步加密操作中的错误处理不当导致进程崩溃 (CVE-2025-23166) - 高危 描述: 方法在后台线程执行时,基于用户提供的输入可能会错误地调用 。 影响: 影响所有活跃版本(20.x, 22.x, 23.x, 24.x)的用户。允许远程攻击者使 Node.js 运行时崩溃。 2. HTTP 头块终止不当 (CVE-2025-23167) - 中危 描述: Node.js 20 的 HTTP 解析器允许使用 而不是必需的 来终止 HTTP/1 头。这可能导致请求走私,绕过基于代理的访问控制并提交未经授权的请求。 影响: 仅影响 Node.js 20.x 版本,在升级到 之前。 3. 当 是字符串时, 中的指针损坏 (CVE-2025-23165) - 低危 描述: 在设置文件描述符时,UTF-16 缓冲区被分配但随后被覆盖,导致每次调用时不可恢复的内存泄漏。重复使用会导致无界内存增长,最终导致服务拒绝。 影响: 影响依赖于 API 的 Node.js v20 和 v22 版本。 总结 高危问题: 1个 中危问题: 1个 低危问题: 1个 影响范围 24.x: 1个高危问题 23.x: 1个高危问题 22.x: 1个低危问题,1个高危问题 20.x: 1个低危问题,1个高危问题,1个中危问题 发布时间 新版本将在2025年5月14日或之后发布,以解决上述问题。