Vulnerabilidad en node de nodejs (CVE-2025-55132)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/01/2026

Última modificación:

03/02/2026

Descripción

Un fallo en el modelo de permisos de Node.js permite que las marcas de tiempo de acceso y modificación de un archivo sean modificadas a través de `futimes()` incluso cuando el proceso tiene solo permisos de lectura. A diferencia de `utimes()`, `futimes()` no aplica las comprobaciones de permisos de escritura esperadas, lo que significa que los metadatos del archivo pueden ser modificados en directorios de solo lectura. Este comportamiento podría ser utilizado para alterar las marcas de tiempo de maneras que oscurezcan la actividad, reduciendo la fiabilidad de los registros. Esta vulnerabilidad afecta a los usuarios del modelo de permisos en Node.js v20, v22, v24 y v25.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:nodejs:node.js:::::-:::*	20.0.0 (incluyendo)	20.20.0 (excluyendo)
cpe:2.3:a:nodejs:node.js:::::-:::*	22.0.0 (incluyendo)	22.22.0 (excluyendo)
cpe:2.3:a:nodejs:node.js:::::-:::*	24.0.0 (incluyendo)	24.13.0 (excluyendo)
cpe:2.3:a:nodejs:node.js:::::-:::*	25.0.0 (incluyendo)	25.3.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://nodejs.org/en/blog/vulnerability/december-2025-security-releases