Node annonce la disponibilité de plusieurs patchs de sécurité pour les versions 25.x, 24.x, 22.x et 20.x. Ils fixent : 3 vulnérabilités critiques et 4 moins importantes. Ces mises à jour incluent la mise à jour de c-ares et undici.

Les CVE critiques :

- CVE-2025-55131 : race condition sur Buffer.alloc, TypedArray. Cette faille permet d'exécuter un code distant non autorisé

- CVE-2025-55130 : bypasser les permissions du système de fichiers en utilisant symlinks

- CVE-2025-59465 : crash du serveur HTTP/2 suite à la réception de headers frame mal formés

Liste des CVE corrigées : https://nodejs.org/en/blog/vulnerability/december-2025-security-releases