كشفت Node.js عن ثغرة أمنية حرجة قد تؤدي لانهيار الخوادم بهجمات حجب الخدمة (DoS). تؤثر المشكلة على معظم التطبيقات التي تستخدم أدوات شائعة، مما يجعل التحديث الفوري ضروريًا.
ما هي طبيعة هذه الثغرة الخطيرة في Node.js؟
في الوضع الطبيعي، تحاول بيئة Node.js/V8 التعامل مع استنفاد مساحة المكدس (stack space exhaustion) عن طريق إطلاق خطأ يمكن التقاطه ومعالجته، وهو سلوك تعتمد عليه العديد من أطر العمل لضمان استمرارية الخدمة.
لكن هذه الثغرة، التي تظهر فقط عند استخدام async_hooks، تمنع هذا السلوك. بدلاً من إطلاق خطأ يمكن معالجته، ينهار التطبيق فجأة ويخرج برمز الخطأ 7، مما يعني فشلًا داخليًا لا يمكن استرداده.
وفقاً لتحليل تيكبامين، يجعل هذا الأمر التطبيقات التي يعتمد فيها عمق العودية (recursion depth) على مدخلات غير مفحوصة، عرضة بشكل مباشر لهجمات حجب الخدمة (DoS).
من هي الأطراف المتأثرة بثغرة async_hooks؟
تكمن المشكلة في واجهة async_hooks، وهي واجهة برمجية منخفضة المستوى في Node.js تسمح للمطورين بتتبع دورة حياة الموارد غير المتزامنة مثل استعلامات قاعدة البيانات أو طلبات HTTP.
تؤثر هذه الثغرة على مجموعة واسعة من أطر العمل وأدوات مراقبة أداء التطبيقات (APM) نظرًا لاعتمادها على AsyncLocalStorage، وهو مكون مبني فوق async_hooks. تشمل القائمة:
- React Server Components
- Next.js
- Datadog
- New Relic
- Dynatrace
- Elastic APM
- OpenTelemetry
ما هي الإصدارات المتاحة وكيف تم إصلاح المشكلة؟
تم تتبع الثغرة تحت المعرف CVE-2025-59466 بدرجة خطورة 7.5 (CVSS). وقد تم إصدار تحديثات لمعالجة هذه المشكلة في الإصدارات المدعومة حاليًا.
يعمل الإصلاح الجديد على اكتشاف أخطاء تجاوز سعة المكدس وإعادة إطلاقها كأخطاء يمكن للمطورين معالجتها في أكوادهم، بدلاً من اعتبارها أخطاء فادحة تسبب انهيار الخادم.
تشمل المشكلة جميع إصدارات Node.js من 8.x (أول إصدار تضمن async_hooks) حتى 18.x. ومع ذلك، لن يتم إصدار تحديثات للإصدارات التي وصلت إلى نهاية عمرها (EoL).
لماذا يعتبر هذا التحديث ضرورياً؟
على الرغم من أن Node.js تعتبره إصلاحًا لخلل فني، إلا أنها أدرجته ضمن إصدار أمني بسبب تأثيره الواسع على النظام البيئي بأكمله. حيث أن أدوات ومنصات مثل React Server Components و Next.js وكل أدوات APM تقريبًا متأثرة.
لهذا السبب، يوصي فريق تيكبامين جميع مستخدمي أطر العمل والأدوات المتأثرة، بالإضافة إلى مزودي خدمات الاستضافة، بتطبيق التحديثات الأمنية في أسرع وقت ممكن لضمان استقرار الخوادم وحمايتها من هجمات حجب الخدمة المحتملة.
