Vulnerabilidad en node de nodejs (CVE-2026-21637)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
20/01/2026
Última modificación:
30/01/2026
Descripción
Una falla en el manejo de errores TLS de Node.js permite a atacantes remotos colapsar o agotar los recursos de un servidor TLS cuando se utilizan 'pskCallback' o 'ALPNCallback'. Las excepciones síncronas lanzadas durante estas devoluciones de llamada eluden las rutas estándar de manejo de errores TLS (tlsClientError y error), causando una terminación inmediata del proceso o fugas silenciosas de descriptores de archivo que eventualmente conducen a una denegación de servicio. Debido a que estas devoluciones de llamada procesan entradas controladas por el atacante durante el handshake TLS, un cliente remoto puede desencadenar el problema repetidamente. Esta vulnerabilidad afecta a los servidores TLS que utilizan devoluciones de llamada PSK o ALPN en todas las versiones de Node.js donde estas devoluciones de llamada lanzan excepciones sin ser envueltas de forma segura.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 4.0.0 (incluyendo) | 20.20.0 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 22.0.0 (incluyendo) | 22.22.0 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 24.0.0 (incluyendo) | 24.13.0 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 25.0.0 (incluyendo) | 25.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página