มีแจ้งเตือนสำคัญสำหรับผู้ดูแลระบบและนักพัฒนา Node.js พบปัญหาวิกฤตที่ทำให้ เซิร์ฟเวอร์หยุดทำงานกะทันหัน (crash) จนใช้งานต่อไม่ได้ หากถูกป้อนข้อมูลผิดรูปแบบ โดยเฉพาะโปรเจกต์ที่เปิดใช้ async_hooks/AsyncLocalStorage ซึ่งพบได้ใน React Server Components, Next.js และเครื่องมือ APM หลายตัว แนะนำให้อัปเดตเวอร์ชันด่วน
สาเหตุคือเมื่อโค้ดเกิด “ซ้อนลึกเกินไป” (stack overflow) ขณะเปิดใช้ async_hooks ระบบ ไม่โยนข้อผิดพลาดให้จับได้ แต่กลับ ปิดโปรเซสด้วยรหัส 7 ทำให้แอปดับทันที ส่งผลให้บริการหยุดชั่วคราวหรือเข้าข่าย โจมตีแบบทำให้ใช้งานไม่ได้ (DoS) ได้ง่าย ถ้าใครใช้เฟรมเวิร์กหรือเครื่องมือที่พึ่งพา AsyncLocalStorage (เช่น Next.js, Datadog, New Relic, Dynatrace, Elastic APM, OpenTelemetry) ให้ถือว่าเสี่ยง
ทีม Node.js ออกแพตช์แล้วใน 20.20.0 (LTS), 22.22.0 (LTS), 24.13.0 (LTS), 25.3.0 (Current) โดยปัญหานี้ติดตามภายใต้ CVE-2025-59466 (CVSS 7.5) แนวทางแก้คือให้ระบบ ตรวจพบและส่งต่อข้อผิดพลาด กลับไปยังโค้ดของผู้ใช้แทนที่จะปิดโปรเซสทันที ทั้งนี้เวอร์ชันเก่าตั้งแต่ 8.x ถึง 18.x หมดอายุซัพพอร์ต (EoL) แล้วจึงไม่มีแพตช์ใหม่ ควรอัปเกรดขึ้นรุ่นที่รองรับโดยเร็ว
นอกจากนั้นยังมีแพตช์ช่องโหว่รุนแรงอื่นอีก 3 รายการที่ออกพร้อมกันคือ CVE-2025-55131, CVE-2025-55130, CVE-2025-59465 ที่อาจนำไปสู่ ข้อมูลรั่ว/ข้อมูลเสียหาย/อ่านไฟล์อ่อนไหวผ่านซิมลิงก์/DoS ระยะไกล จึงควรอัปเดตครั้งเดียวให้ครบเพื่อลดความเสี่ยงรวม
เพื่อเป็นการป้องกันแนะนำให้อัปเดต Node.js ด่วน เป็นเวอร์ชัน 20.20.0 (LTS) / 22.22.0 (LTS) / 24.13.0 (LTS) / 25.3.0 (Current) เพื่อลดความเสี่ยง DoS จาก CVE-2025-59466 และโปรเจกต์ที่ใช้ async_hooks/AsyncLocalStorage (เช่น Next.js, APM ต่าง ๆ) ถือว่าเสี่ยงเป็นพิเศษ
Loส่วนใครยังยังใช้รุ่น EoL (≤18.x) ให้วางแผนอัปเกรดขึ้น LTS ทันที และทดสอบการจัดการข้อผิดพลาด/ลิมิตความลึกของการเรียกซ้ำ
บริการ Cloud VPS ที่ปลอดภัย ของ hostatom เรามีทีมช่วยวางแผน อัปเกรด Node.js/LTS, จัดตารางแพตช์, ทำ Blue-Green/Canary ลด Downtime
รายละเอียดสามารถดูได้ที่ 👉https://www.hostatom.com/cloud-vps/
ที่มา: The Hacker News
