All Posts
News bits
Node.jsがasync_hooks起因のDoS脆弱性などに対応したセキュリティリリースを公開
Node.jsがasync_hooks起因のDoS脆弱性などに対応したセキュリティリリースを公開
Node.jsが3件のHigh深刻度脆弱性(Buffer確保、ファイルシステム権限バイパス、HTTP/2クラッシュ)と、async_hooksに起因するDoS脆弱性(CVE-2025-59466)などを含むセキュリティリリースを公開した。影響を受けるリリースラインは20.x, 22.x, 24.x, 25.x。
async_hooksの脆弱性 (CVE-2025-59466)は、async_hooks(AsyncLocalStorageを含む)が有効な状態で、スタックオーバーフローが発生すると、回復不能なプロセス終了(exit code 7)を引き起こす問題。React Server ComponentsやNext.js、多くのAPMツールがAsyncLocalStorageを内部で使用しているため、これらを使用しているアプリケーションは潜在的にDoS攻撃に対して脆弱となる。
このパッチは、特定のエッジケースにおける回復力を向上させる「緩和策」と位置付けられている。根本的な解決として、再帰の深さを制限する、信頼できない入力による再帰処理を避けるといったアプリケーション側での防衛策が推奨されている。
Node.js 24以降ではAsyncLocalStorageの実装がAsyncContextFrame(V8の機能)ベースに変更されasync_hooksを使用しなくなったため、ReactやNext.jsはこの問題の影響を受けないが、APMツールが直接async_hooksを使用している場合は依然として影響を受ける可能性がある。
出展:December 2025 Security Releases, Mitigating DoS Vulnerability from Stack Space Exhaustion
Pollyfill.io の売却
Pollyfill.io の売却
ブラウザーの互換性を解決するためのサービス Pollyfill.io が、中国の Funnull 社に売却されました。現代のサービスで Pollyfill.io が必要になることはほぼないと思いますが、今でも少なくないサービスで利用されています。
[注意喚起]ブラウザ互換ライブラリ「Polyfill.io」がドメイン名ごと中国企業に売却、Cloudflare と Fastly が代替となる配信を開始
Cloudflare と Fastly がそれぞれ自社の CDN でフォークした Polyfill.io の配信を発表しました。
著者について
Hi there. I'm hrdtbs, a frontend expert and technical consultant. I started my career in the creative industry over 13 years ago, learning on the job as a 3DCG modeler and game engineer in the indie scene.
In 2015 I began working as a freelance web designer and engineer. I handled everything from design and development to operation and advertising, delivering comprehensive solutions for various clients.
In 2016 I joined Wemotion as CTO, where I built the engineering team from the ground up and led the development of core web and mobile applications for three years.
In 2019 I joined matsuri technologies as a Frontend Expert, and in 2020 I also began serving as a technical manager supporting streamers and content creators.
I'm so grateful to be working in this field, doing something that brings me so much joy. Thanks for stopping by.