Node.js发布安全更新，修补可能导致服务中断与程式当机的漏洞 文/张明德|2026-03-26发表 常用於网站後端应用的开源JavaScript执行环境Node.js，於3月24日发布安全更新，修补 9个漏洞，包括可能导致服务中断与程式当机的高风险漏洞，建议使用者尽速更新。 这9个漏洞中， 最受瞩目的是高风险漏洞CVE-2026-21637，由於TLS错误处理问题，当TLS 用户端传送异常的servername值时，可能导致Node.js程式当机。另一个是同属高风险漏 洞的CVE-2026-21710，由於Node.js的HTTP标头处理缺陷，当收到特定标头名称时，可能 引发拒绝服务的状况 。 另有一个编号CVE-2026-21714的漏洞，虽然严重程度只有中等，但恶意用户端可利用 Node.js HTTP/2伺服器的流量控制缺陷，透过发送错误的WINDOW_UPDATE讯框（frame）， 造成记忆体泄漏（memory leak）与资源耗尽，进而引发拒绝服务。 前述漏洞会影响Node.js的20.x、22.x、24.x与25.x等版本，解决办法是升级到各版本的 修补版本，包括20.20.2、22.22.2、24.14.1，以及25.8.2以後的版本。 https://www.ithome.com.tw/news/174705 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.248.21.221 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Ajax/M.1774713872.A.5C4.html