Node.js
常用於網站後端應用的開源JavaScript執行環境Node.js,於3月24日發布安全更新,修補9個漏洞,包括可能導致服務中斷與程式當機的高風險漏洞,建議使用者盡速更新。
這9個漏洞中, 最受矚目的是高風險漏洞CVE-2026-21637,由於TLS錯誤處理問題,當TLS用戶端傳送異常的servername值時,可能導致Node.js程式當機。另一個是同屬高風險漏洞的CVE-2026-21710,由於Node.js的HTTP標頭處理缺陷,當收到特定標頭名稱時,可能引發拒絕服務的狀況 。
另有一個編號CVE-2026-21714的漏洞,雖然嚴重程度只有中等,但惡意用戶端可利用Node.js HTTP/2伺服器的流量控制缺陷,透過發送錯誤的WINDOW_UPDATE訊框(frame),造成記憶體洩漏(memory leak)與資源耗盡,進而引發拒絕服務。
前述漏洞會影響Node.js的20.x、22.x、24.x與25.x等版本,解決辦法是升級到各版本的修補版本,包括20.20.2、22.22.2、24.14.1,以及25.8.2以後的版本。
