Falha crítica no Node.js permite queda de servidores por estouro de pilha

Tipo principal do conteúdo: Cibersegurança

O Node.js anunciou uma atualização para corrigir uma vulnerabilidade crítica que afeta praticamente todas as aplicações em produção desenvolvidas com a plataforma. O problema está relacionado ao módulo async_hooks, utilizado para monitorar o ciclo de vida de recursos assíncronos, como consultas a bancos de dados e requisições HTTP. Quando ocorre um estouro de pilha em código do usuário com async_hooks ativado, o Node.js encerrava o processo abruptamente com um código de erro interno, sem permitir o tratamento da exceção, expondo aplicações a ataques de negação de serviço (DoS).

A falha, identificada como CVE-2025-59466, impacta diretamente frameworks populares e ferramentas de monitoramento de desempenho, como React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM e OpenTelemetry. Isso ocorre porque muitos desses sistemas utilizam o componente AsyncLocalStorage, que depende do async_hooks para manter dados durante operações assíncronas. O risco aumenta em aplicações cuja profundidade de recursão pode ser manipulada por entradas não validadas, facilitando a exploração da vulnerabilidade.

A correção foi implementada nas versões 20.20.0, 22.22.0, 24.13.0 e 25.3.0 do Node.js, e consiste em detectar o estouro de pilha e repassar o erro para o código do usuário, permitindo um tratamento mais seguro e previsível. Versões anteriores, desde a 8.x até a 18.x, permanecem vulneráveis por terem atingido o fim do suporte. Além dessa falha, outras três vulnerabilidades de alta gravidade também foram corrigidas, envolvendo riscos de vazamento ou corrupção de dados e execução remota de negação de serviço.

Diante da gravidade técnica, é recomendado que desenvolvedores e provedores de hospedagem atualizem imediatamente suas instâncias e reforcem mecanismos de defesa contra exaustão de pilha, garantindo maior resiliência operacional das aplicações Node.js.