CVE-2025-23085

Nome do Software Vulnerável e Versões Afetadas Versões do Node.js 18.x até 23.x

Descrição Um vazamento de memória pode ocorrer quando um peer remoto fecha abruptamente o socket sem enviar uma notificação GOAWAY. Além disso, se um cabeçalho inválido for detectado pelo nghttp2, fazendo com que a conexão seja encerrada pelo peer, o mesmo vazamento é acionado. Essa falha pode levar ao aumento do consumo de memória e potencial negação de serviço sob certas condições.

Recomendações Para as versões 18.x, 20.x, 22.x e 23.x do Node.js, considere implementar uma medida de contorno para lidar com fechamentos abruptos de socket e cabeçalhos inválidos a fim de prevenir vazamentos de memória. Como medida de contorno temporária, considere desabilitar o uso de HTTP/2 até que uma correção esteja disponível. Restrinja o acesso ao módulo nghttp2 para minimizar o risco de exploração. Evite usar a biblioteca nghttp2 nos endpoints de API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.