Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2025-59465

Опубликовано: 20 янв. 2026
Источник: nvd
CVSS3: 7.5
EPSS Низкий

Описание

A malformed HTTP/2 HEADERS frame with oversized, invalid HPACK data can cause Node.js to crash by triggering an unhandled TLSSocket error ECONNRESET. Instead of safely closing the connection, the process crashes, enabling a remote denial of service. This primarily affects applications that do not attach explicit error handlers to secure sockets, for example:

server.on('secureConnection', socket => { socket.on('error', err => { console.log(err) }) })

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
Версия от 20.0.0 (включая) до 20.20.0 (исключая)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
Версия от 22.0.0 (включая) до 22.22.0 (исключая)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
Версия от 24.0.0 (включая) до 24.13.0 (исключая)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
Версия от 25.0.0 (включая) до 25.3.0 (исключая)

EPSS

Процентиль: 19%
0.00062
Низкий

7.5 High

CVSS3

Дефекты

CWE-400

Связанные уязвимости

ubuntu логотип

CVE-2025-59465

CVSS3: 7.5
ubuntu
14 дней назад

A malformed `HTTP/2 HEADERS` frame with oversized, invalid `HPACK` data can cause Node.js to crash by triggering an unhandled `TLSSocket` error `ECONNRESET`. Instead of safely closing the connection, the process crashes, enabling a remote denial of service. This primarily affects applications that do not attach explicit error handlers to secure sockets, for example: ``` server.on('secureConnection', socket => { socket.on('error', err => { console.log(err) }) }) ```

debian логотип

CVE-2025-59465

CVSS3: 7.5
debian
14 дней назад

A malformed `HTTP/2 HEADERS` frame with oversized, invalid `HPACK` dat ...

github логотип

GHSA-w2pg-hw7v-f7m9

CVSS3: 7.5
github
14 дней назад

A malformed `HTTP/2 HEADERS` frame with oversized, invalid `HPACK` data can cause Node.js to crash by triggering an unhandled `TLSSocket` error `ECONNRESET`. Instead of safely closing the connection, the process crashes, enabling a remote denial of service. This primarily affects applications that do not attach explicit error handlers to secure sockets, for example: ``` server.on('secureConnection', socket => { socket.on('error', err => { console.log(err) }) }) ```

fstec логотип

BDU:2026-00547

CVSS3: 7.5
fstec
22 дня назад

Уязвимость программной платформы Node.js, связанная с ошибкой обработки исключительных состояний, позволяющая нарушителю вызвать отказ в обслуживании

suse-cvrf логотип

SUSE-SU-2026:0301-1

suse-cvrf
8 дней назад

Security update for nodejs22

EPSS

Процентиль: 19%
0.00062
Низкий

7.5 High

CVSS3

Дефекты

CWE-400