CVE-2025-23090

Nome do Software Vulnerável e Versões Afetadas Versões 20, 22 e 23 do Node.js

Descrição O problema permite que atacantes usem indevidamente o utilitário diagnostics channel, acessando threads de workers internas para fins maliciosos. Isso não se limita aos workers, mas também expõe workers internos, nos quais uma instância deles pode ser obtida, e seu construtor pode ser capturado e reinstanciado para uso malicioso. Isso afeta usuários do Modelo de Permissão (--permission).

Recomendações Para as versões 20, 22 e 23 do Node.js, considere desativar o utilitário diagnostics channel como uma solução temporária até que um patch esteja disponível. Restrinja o acesso às threads de workers internas para minimizar o risco de exploração. Evite utilizar o utilitário diagnostics channel para fins maliciosos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.