Fusione della sicurezza di Node.js: falle critiche espongono segreti e mandano in frantumi le sandbox

Era un martedì come tanti - finché i maintainer di Node.js non hanno sganciato una bomba: ogni versione attiva del runtime JavaScript più popolare al mondo nascondeva gravi buchi di sicurezza. Da perdite di memoria a fughe dalla sandbox, e da crash dei server a manomissioni dei log di audit, le vulnerabilità appena corrette sembrano la lista dei desideri di un cybercriminale. Per chi gestisce applicazioni in produzione, il messaggio è chiaro: applicate la patch ora, o rischiate violazioni catastrofiche.

La release di sicurezza coordinata - pubblicata il 13 gennaio 2026 - copre le versioni Node.js 20.20.0, 22.22.0, 24.13.0 e 25.3.0. Le vulnerabilità, alcune annidate in profondità nei moduli core e nelle dipendenze, evidenziano la corsa agli armamenti in corso tra difensori e sabotatori digitali. Tra i titoli principali: una race nell’allocazione dei buffer nel modulo ‘vm’ (CVE-2025-55131), che può esporre memoria non inizializzata, inclusi potenzialmente segreti sensibili in-process. Per i provider cloud e gli host multi-tenant, questa falla è uno scenario da incubo, perché concede agli attaccanti uno spiraglio sui dati di altri utenti tramite uno sfruttamento ingegnoso delle sandbox JavaScript.

Un altro bug ad alta gravità (CVE-2025-55130) permette agli attaccanti di costruire catene di symlink che evadono le sandbox dei permessi del file system di Node.js. Il risultato? Accesso arbitrario in lettura e scrittura - annientando i confini stessi che dovrebbero tenere sotto controllo il codice non fidato. Nel frattempo, una falla nell’implementazione HTTP/2 (CVE-2025-59465) fa sì che un singolo pacchetto di rete malformato possa mandare in crash i server vulnerabili, aprendo la porta ad attacchi di denial-of-service remoto che interrompono servizi critici con facilità.

Le problematiche a gravità media non vanno ignorate. Una consente agli attaccanti di innescare uno stack overflow irreversibile - aggirando persino i migliori gestori di errori di Node - mentre un’altra provoca una perdita di memoria a causa di una gestione impropria dei certificati client TLS. Anche i permessi dei socket di dominio Unix e gli errori di handshake TLS hanno ricevuto correzioni d’emergenza, chiudendo sottili percorsi di escalation. Persino la funzione ‘fs.futimes()’, classificata Low, comprometteva logging e audit trail consentendo la modifica dei timestamp in file teoricamente di sola lettura.

Con ogni linea di rilascio supportata coinvolta, i maintainer di Node.js lanciano un allarme familiare: le versioni non supportate sono “implicitamente interessate” e devono essere aggiornate per restare sicure. Il consiglio è netto - rivedete i modelli di permessi, esaminate con attenzione l’uso di HTTP/2 e TLS, e applicate la patch immediatamente. Nel mondo ad alta posta della sicurezza dei server, la compiacenza è la vulnerabilità più grande di tutte.

WIKICROOK

• Buffer.alloc: Buffer.alloc è un metodo di Node.js che alloca buffer di memoria riempiti con zeri, aiutando a prevenire l’esposizione di dati non inizializzati e migliorando la sicurezza dell’applicazione.
• Sandbox: Una sandbox è un ambiente sicuro e isolato in cui gli esperti analizzano in sicurezza file o programmi sospetti senza mettere a rischio sistemi o dati reali.
• Symlink: Un symlink è un file che punta a un altro file o directory, spesso usato come scorciatoia ma sfruttabile per aggirare i controlli di sicurezza.
• Denial: In cybersecurity, denial significa rendere sistemi o servizi non disponibili agli utenti, spesso tramite attacchi come il Denial-of-Service (DoS) che li inondano di traffico.
• Modello di permessi: Un modello di permessi è un sistema che gestisce a cosa utenti o app sono autorizzati ad accedere o cosa possono fare all’interno di un ambiente informatico o software.