Node.jsがasync_hooks起因のDoS脆弱性などに対応したセキュリティリリースを公開

Node.jsが3件のHigh深刻度脆弱性（Buffer確保、ファイルシステム権限バイパス、HTTP/2クラッシュ）と、async_hooksに起因するDoS脆弱性（CVE-2025-59466）などを含むセキュリティリリースを公開した。影響を受けるリリースラインは20.x, 22.x, 24.x, 25.x。

async_hooksの脆弱性 (CVE-2025-59466)は、async_hooks（AsyncLocalStorageを含む）が有効な状態で、スタックオーバーフローが発生すると、回復不能なプロセス終了（exit code 7）を引き起こす問題。React Server ComponentsやNext.js、多くのAPMツールがAsyncLocalStorageを内部で使用しているため、これらを使用しているアプリケーションは潜在的にDoS攻撃に対して脆弱となる。

このパッチは、特定のエッジケースにおける回復力を向上させる「緩和策」と位置付けられている。根本的な解決として、再帰の深さを制限する、信頼できない入力による再帰処理を避けるといったアプリケーション側での防衛策が推奨されている。

Node.js 24以降ではAsyncLocalStorageの実装がAsyncContextFrame（V8の機能）ベースに変更されasync_hooksを使用しなくなったため、ReactやNext.jsはこの問題の影響を受けないが、APMツールが直接async_hooksを使用している場合は依然として影響を受ける可能性がある。

出展：December 2025 Security Releases, Mitigating DoS Vulnerability from Stack Space Exhaustion