CVE-2025-59466

Erreur Non Rattrapable dans Node.js Liée aux Async Hooks

Une faille de sécurité dans la gestion des erreurs de Node.js, identifiée sous la référence CVE-2025-59466, rend les erreurs de type “Maximum call stack size exceeded” impossibles à intercepter lorsque le module async_hooks.createHook() est activé. Cela empêche les applications de gérer ces erreurs via process.on('uncaughtException'), entraînant leur terminaison irrécupérable.

Points Clés :

• La vulnérabilité concerne spécifiquement la gestion des erreurs de dépassement de la taille de la pile d’appels.
• Elle empêche l’utilisation du mécanisme standard de gestion des exceptions non capturées (uncaughtException).
• Elle peut conduire à une terminaison brutale et irrécupérable du processus Node.js.

Vulnérabilités :

• CVE-2025-59466 : Flaw in Node.js error handling with async_hooks.createHook().
  • Affecte les versions de Node.js : 20, 22, 24.
  • Spécifiquement problématique pour les applications utilisant :
    • AsyncLocalStorage (versions 20 et 22).
    • async_hooks.createHook() (versions 20, 22, et 24).
  • Conditions d’exploitation : Recursion profonde.

Recommandations :

Bien que l’article n’offre pas explicitement de recommandations de mise à jour, il est implicite que la résolution de ce problème nécessite la mise à jour vers des versions de Node.js où cette vulnérabilité est corrigée. Les développeurs utilisant les fonctionnalités mentionnées et étant exposés à des risques de recursion profonde devraient impérativement vérifier les notes de mise à jour des versions de Node.js concernées.

Source