技術
約3分で読めます
Node.js 2026年1月セキュリティリリース - 延期続きの末ようやく公開
2026年1月13日(現地時間)、Node.jsのセキュリティリリースがようやく公開された。当初は2025年12月15日にリリース予定だったが、パッチ開発の難航、年末年始の休暇、CIテストの問題などで何度も延期されていた。
リリース延期の経緯
| 日付 | 状況 |
|---|---|
| 2025/12/15 | 当初の予定日。パッチ開発難航で12/18へ延期 |
| 2025/12/18 | 年末休暇を考慮し年明けの1/7へ延期 |
| 2026/01/07 | CIテスト未完了で1/8へ延期 |
| 2026/01/08 | アジア太平洋地域の週末を避けて1/13へ延期 |
| 2026/01/13 | リリース |
対象バージョン
- Node.js 25.x(Current)
- Node.js 24.x
- Node.js 22.x(LTS)
- Node.js 20.x(LTS)
注意: Node.js 18.x以前はEOL(End of Life)のためパッチ対象外。v18を使っているならv22へのアップグレードが推奨されている。
脆弱性の詳細
HIGH(高): 3件
CVE-2025-55131: Buffer.allocが未初期化メモリを返す
vmモジュールのtimeoutオプション使用時、タイミング条件によってBuffer.allocやUint8Arrayが未初期化メモリを含む可能性がある。
影響: トークンやパスワードなどの機密情報が漏洩する恐れ
CVE-2025-55130: シンボリックリンクでファイルシステム権限をバイパス
細工されたシンボリックリンクを使って--allow-fs-read/--allow-fs-write制限を回避できる。
影響: 任意のファイル読み書きが可能になる
CVE-2025-59465: HTTP/2サーバーがクラッシュ
不正なHTTP/2 HEADERSフレームでTLSSocketエラー(ECONNRESET)が発生し、プロセスがクラッシュする。
影響: リモートからのDoS攻撃が可能
MEDIUM(中): 4件
| CVE | 概要 |
|---|---|
| CVE-2025-59466 | async_hooks.createHook()有効時、スタックオーバーフローエラーがキャッチ不能になりDoSクラッシュ |
| CVE-2025-59464 | socket.getPeerCertificate(true)でX.509証明書フィールドがメモリリーク。メモリ枯渇によるDoS |
| CVE-2026-21636 | Permission Model有効でもUDS接続が可能(v25.xのみ) |
| CVE-2026-21637 | TLSのPSK/ALPNコールバックで例外がエラーハンドラをバイパス。DoSとFDリーク |
LOW(低): 1件
| CVE | 概要 |
|---|---|
| CVE-2025-55132 | 読み取り専用権限でもfs.futimes()でファイルのタイムスタンプを変更可能 |
依存関係の更新
- c-ares 1.34.6
- undici 6.23.0 / 7.18.0
静的サイト(Astro, Next.jsなど)への影響
静的サイトジェネレーターの場合、Node.jsはビルド時のみ使用される。本番環境ではVercelなどのプラットフォームがホストするため、サーバークラッシュ系の脆弱性(HTTP/2、TLS関連)は直接影響しない。
ただし開発環境のNode.jsは最新版にしておくのが無難。
# nvmを使っている場合
nvm install 22
nvm use 22
nvm alias default 22
# バージョン確認
node -v