製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

Node.js FoundationのNode.jsにおけるキャッチされない例外に関する脆弱性

Title	Node.js FoundationのNode.jsにおけるキャッチされない例外に関する脆弱性
Summary	Node.jsのエラー処理において、`async_hooks.createHook()`が有効な場合に「最大コールスタックサイズを超えました」エラーをキャッチできないバグを特定しました。この問題により、`process.on('uncaughtException')`に到達せずにプロセスが終了し、クラッシュが回復不可能になります。`AsyncLocalStorage`（v22, v20）や`async_hooks.createHook()`（v24, v22, v20）に依存するアプリケーションは、特定の条件下で深い再帰が原因となりサービス拒否クラッシュの脆弱性が発生します。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 20, 2026, midnight
Registration Date	Feb. 2, 2026, 7:22 p.m.
Last Update	Feb. 2, 2026, 7:22 p.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

Node.js Foundation

Node.js 20.0.0 以上 20.20.0 未満

Node.js 22.0.0 以上 22.22.0 未満

Node.js 24.0.0 以上 24.13.0 未満

Node.js 25.0.0 以上 25.3.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-59466	https://www.cve.org/CVERecord?id=CVE-2025-59466
National Vulnerability Database (NVD)
2	CVE-2025-59466	https://nvd.nist.gov/vuln/detail/CVE-2025-59466

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-248	https://cwe.mitre.org/data/definitions/248.html

ベンダー情報

No	Name	URL
Node.js Foundation
1	Node.js — Tuesday, January 13, 2026 Security Releases	https://nodejs.org/en/blog/vulnerability/december-2025-security-releases

Change Log

No	Changed Details	Date of change
1	[2026年02月02日] 掲載	Feb. 2, 2026, 7:22 p.m.