O projeto Node.js anunciou o lançamento de atualizações importantes para corrigir várias vulnerabilidades de segurança, incluindo uma falha de alta gravidade que pode permitir a invasores contornar permissões de workers e acessar dados sensíveis. Essa vulnerabilidade, rastreada como CVE-2025-23083, afeta as versões 20, 22 e 23 do Node.js e está associada ao utilitário diagnostics_channel, que é usado para monitorar eventos, como a criação de threads de workers.

A falha abre espaço para que invasores ganhem acesso não autorizado a dados sensíveis ou a recursos protegidos, comprometendo a segurança de aplicações e sistemas que utilizam essas versões. Além da falha crítica, as atualizações incluem correções para duas vulnerabilidades de gravidade média. A primeira, identificada como CVE-2025-23084, é uma vulnerabilidade de travessia de diretórios em ambientes Windows. Esse problema permite que atacantes manipulem nomes de unidades para acessar arquivos fora do diretório previsto, violando a integridade das pastas protegidas.

A segunda falha, CVE-2025-23085, está relacionada a um vazamento de memória em servidores HTTP/2, que pode ser explorado para causar uma condição de negação de serviço (DoS). Essas vulnerabilidades, embora menos graves que a CVE-2025-23083, também representam ameaças sérias e requerem atenção imediata dos usuários. Para mitigar os riscos, a equipe do Node.js lançou atualizações para as linhas de lançamento das versões 23.x, 22.x, 20.x e 18.x, recomendando fortemente que os usuários atualizem suas instalações imediatamente. As versões corrigidas incluem Node.js v18.20.6, v20.18.2, v22.13.1 e v23.6.1. A aplicação dessas atualizações garante a proteção contra as vulnerabilidades identificadas e reforça a segurança geral dos sistemas.