EL ECOSISTEMA NODE.JS EN JAQUE: VULNERABILIDAD CRÍTICA EN ASYNC_HOOKS PERMITE ATAQUES DOS (CVE-2025-59466)
Fecha: 23 de febrero de 2026
Nivel de Impacto: Crítico
El equipo de seguridad de Node.js ha lanzado actualizaciones de emergencia para mitigar una vulnerabilidad crítica que afecta a casi todas las aplicaciones en producción. El fallo, identificado como CVE-2025-59466 (CVSS 7.5), aprovecha un error en el manejo del desbordamiento de pila (stack overflow) cuando se utiliza la API async_hooks. De ser explotado, un atacante puede forzar el cierre inmediato del servidor (Crash) sin que los mecanismos de recuperación estándar puedan intervenir.
Detalles Técnicos: El fallo del "Código 7"
Normalmente, Node.js y el motor V8 gestionan el agotamiento de la pila arrojando un error detectable que los desarrolladores pueden capturar para mantener el servicio activo. Sin embargo, cuando la API async_hooks (o su derivado común AsyncLocalStorage) está habilitada, este sistema de seguridad falla.
- El Problema: En lugar de generar una excepción controlada, Node.js finaliza abruptamente con el código de salida 7. Este código indica un fallo interno del gestor de excepciones, lo que impide que frameworks como Express o Fastify recuperen el hilo de ejecución.
- El Vector: Un atacante puede enviar entradas no saneadas que fuercen una recursión profunda en el código del usuario. Al agotarse la pila, el proceso muere instantáneamente, facilitando ataques de Denegación de Servicio (DoS).
[Image showing Node.js Runtime Error Code 7 workflow versus normal exception handling]
Impacto en el Ecosistema: Frameworks y APMs afectados
Lo que hace que esta vulnerabilidad sea tan relevante es su ubicuidad. Al utilizarse para rastrear contextos asíncronos, afecta directamente a:
- Frameworks de renderizado: React Server Components y Next.js.
- Herramientas de monitoreo (APM): Datadog, New Relic, Dynatrace, Elastic APM y OpenTelemetry.
- Contexto: Prácticamente cualquier aplicación profesional de Node.js que use trazabilidad o almacenamiento local asíncrono está en riesgo.
Versiones y Soluciones
La corrección cambia la forma en que se tratan estos desbordamientos, reiniciándolos en el código del usuario en lugar de considerarlos errores fatales del sistema.
Rama de Node.js
Versión con el Parche
Node.js 20 (LTS)
Actualizar a 20.20.0
Node.js 22 (LTS)
Actualizar a 22.22.0
Node.js 24 (LTS)
Actualizar a 24.13.0
Node.js 25 (Actual)
Actualizar a 25.3.0
Aviso importante: Las versiones de la 8.x a la 18.x también son vulnerables, pero al haber alcanzado el fin de su vida útil (EoL), no recibirán parches oficiales. Se recomienda encarecidamente migrar a una versión LTS activa.
