Node.js 项目已发布更新，以解决多个安全漏洞，其中包括一个可允许攻击者绕过 Worker 权限的高严重性漏洞。

该漏洞被追踪为 CVE-2025-23083，影响 Node.js 20、22 和 23 版本。该漏洞存在于 diagnostics_channel 实用程序中，可用于挂钩事件，包括工作线程创建。利用这一漏洞，可能会在未经授权的情况下访问敏感数据或资源。

除了工人权限绕过漏洞外，更新还修补了两个中等严重性漏洞：

CVE-2025-23084： 在 Windows 环境中通过驱动器名称进行路径遍历。该漏洞可让攻击者访问预定目录之外的文件。

CVE-2025-23085：HTTP/2 服务器中的内存泄漏问题。利用此漏洞可导致拒绝服务 (DoS) 情况。

该更新还突出显示了已到期的 Node.js 版本中的漏洞：

CVE-2025-23087： Node.js v17.x 或更早版本

CVE-2025-23088： Node.js v19.x

CVE-2025-23089： Node.js v21.x

更新已针对 23.x、22.x、20.x 和 18.x Node.js 发布线发布。敦促用户尽快更新其 Node.js 安装，以缓解这些漏洞。

Node.js v18.20.6
Node.js v20.18.2
Node.js v22.13.1
Node.js v23.6.1

文章原文链接:https://www.anquanke.com/post/id/303735