Giriş
Node.js, üretim ortamlarındaki uygulamaları etkileyen kritik bir güvenlik açığını çözmek için güncellemeler yayınladı. Bu açık, doğru bir şekilde istismar edildiğinde, hizmet kesintisine (DoS) yol açabilir.
Saldırı Nasıl Çalışıyor?
Node.js’in geliştirdiği V8 motoru, “stack space” tükenmesi durumunda olası bir hatayı kurtarmak için en iyi çabayı göstermektedir. Ancak, async_hooks kullanıldığında ortaya çıkan bir hata, Node.js’in kullanıcı kodundaki derinlik kontrolünü sağlanmamış girdi ile kullanıldığında aniden sona ermesine neden olmaktadır.
Etkilenen Sistemler
Açık, aşağıdaki çerçeveler ve Uygulama Performans İzleme (APM) araçları üzerinde olumsuz etkilere yol açmaktadır:
- React Server Components
- Next.js
- Datadog
- New Relic
- Dynatrace
- Elastic APM
- OpenTelemetry
Ayrıca, bu sorun, async_hooks modülünü kullanan Node.js’in 8.x ile 18.x arasındaki tüm sürümlerini etkilemektedir. Söz konusu hatanın bildirildiği sürümler şunlardır:
- Node.js 20.20.0 (LTS)
- Node.js 22.22.0 (LTS)
- Node.js 24.13.0 (LTS)
- Node.js 25.3.0 (Current)
Çözüm ve Korunma
Hatanın çözümü, CVE-2025-59466 (CVSS puanı: 7.5) ile izlenmektedir. Yeni düzeltme, kullanıcı koduna geri atılan “stack overflow” hatalarını tespit edecek ve böylece hataları kritik olarak değerlendirmekten ziyade daha öngörülebilir hale getirecektir. Ancak Node.js, problemi sadece bir hafifletme olarak görmekte ve daha sağlam koruma mekanizmaları uygulamanız gerektiğini vurgulamaktadır.
Aksiyon
Hareket geçmek için, bu çerçeveleri kullanan ve etkilenebilecek sistemleri hemen güncelleyiniz. Ayrıca, kütüphanelerin ve çerçevelerin bakımını yapanların, “stack space” tükenmesini önlemek için daha güçlü önlemler alması gerektiği unutulmamalıdır. Port kapatma ve ek güvenlik önlemleri de düşünebilirsiniz.
