Node.js Libera Parches de Seguridad por Fallos en aplicaciones Windows

Node.js, uno de los entornos de ejecución JavaScript más utilizados a nivel global, ha sido impactado por dos vulnerabilidades de alta severidad. Estas debilidades afectan funciones fundamentales como la resolución de rutas en sistemas Windows y el mecanismo de hashing del motor V8, permitiendo a actores maliciosos evadir restricciones de acceso al sistema de archivos o degradar el rendimiento del servidor mediante ataques de denegación de servicio.

Vulnerabilidad identificada:

CVE‑2025‑27210 – CVSS 8.2 (Alta): Se trata de una vulnerabilidad crítica por Path Traversal en Windows. Se han detectado nombres de dispositivo reservados (CON, PRN, AUX) que evaden las protecciones del método path.normalize()/path.join() de Node.js y permiten acceder al directorio raíz de la unidad, ignorando restricciones de ruta relativa.
CVE‑2025‑27209 – CVSS 7.8 (Alta): Es una vulnerabilidad de tipo HashDoS en el subsistema V8 utilizado por Node.js v24.x. El reciente cambio hacia rapidhash vuelve a introducir la posibilidad de ataques por alta colisión de hashes; un atacante que controla cadenas puede provocar colisiones incluso sin conocer la semilla de hash, provocando denegación de servicio. Aunque V8 no lo clasifica como vulnerabilidad de seguridad, Node.js lo considera crítico debido al impacto potencial.

Productos y Versiones afectadas

CVE	Versiones Afectadas	Versión Corregida
CVE-2025-27210	Node.js v20.x, v22.x, v24.x en entornos Windows (API path.join)	Actualizar a Node.js 20.19.4, 22.17.1 o 24.4.1 (o superior)
CVE-2025-27209	Node.js v24.x (v24.0.0)	Actualizar a Node.js 24.4.1 (o superior)

Recomendaciones:

Actualizar inmediatamente a la versión parcheada correspondiente.
Revisar el código que utilice path.join, asegurando validación explícita de rutas de entrada.
Limitar el uso de APIs expuestas a datos no confiables en entornos Windows.
Monitorizar patrones inusuales de ejecución en path.join y altas tasas de colisiones en hashing.
Aplicar principios de codificación segura y auditoría de dependencias en Node.js.

Referencias

Para mayor información sobre las vulnerabilidades descritas, consultar los siguientes enlaces:

https://www.webasha.com/blog/what-are-cve-2025-27210-and-cve-2025-27209-vulnerabilities-in-nodejs-and-how-can-windows-applications-protect-against-these-high-severity-flaws

https://securityonline.info/high-severity-node-js-flaws-expose-windows-apps-to-path-traversal-cve-2025-27210-hashdos-cve-2025-27209-attacks/

https://www.hkcert.org/security-bulletin/node-js-multiple-vulnerabilities_20250716

https://nodejs.org/es/blog/vulnerability/july-2025-security-releases