Vulnerabilidad en Node.js (CVE-2025-23122)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

19/05/2025

Última modificación:

20/05/2025

Descripción

En Node.js, el enlace interno de `ReadFileUtf8` causa una pérdida de memoria debido a un puntero dañado en `uv_fs_s.file`: se asigna un búfer de ruta UTF-16, pero posteriormente se sobrescribe al configurar el descriptor de archivo. Esto provoca una pérdida de memoria irrecuperable en cada llamada. El uso repetido puede causar un crecimiento descontrolado de la memoria, lo que resulta en una denegación de servicio. Impacto: * Esta vulnerabilidad afecta a las API que dependen de `ReadFileUtf8` en las versiones v20 y v22 de Node.js.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

3.70

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://nodejs.org/en/blog/vulnerability/may-2025-security-releases