Node.js — Tuesday, January 13, 2026 Security Releases

Node.js 20.20.0/22.22.0/24.13.0/25.3.0のセキュリティリリース。 8件の脆弱性が修正されている。 Buffer.allocやTypedArrayが初期化されていないメモリを含む可能性があるRace Conditionの修正（CVE-2025-55131）。 シンボリックリンクを使ったPermission Modelのバイパスの修正（CVE-2025-55130）。 不正なHTTP/2 HEADERSフレームでサーバがクラッシュする問題の修正（CVE-2025-59465）。 また、async_hooks有効時にスタックオーバーフローエラーがキャッチできない問題、TLSクライアント証明書処理のメモリリークなども修正されている。

関連URL

• Node.js — Mitigating Denial-of-Service Vulnerability from Unrecoverable Stack Space Exhaustion for React, Next.js, and APM Users