CVE-2025-55131

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-55131
A flaw in Node.js's buffer allocation logic can expose uninitialized memory when allocations are interrupted, when using the `vm` module with the timeout option. Under specific timing conditions, buffers allocated with `Buffer.alloc` and other `TypedArray` instances like `Uint8Array` may contain leftover data from previous operations, allowing in-process secrets like tokens or passwords to leak or causing data corruption. While exploitation typically requires precise timing or in-process code execution, it can become remotely exploitable when untrusted input influences workload and timeouts, leading to potential confidentiality and integrity impact.

7.1 /10

CVSS v3 : HIGH

V3 Legend

Vector : AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L

Exploitability : 1.6 / Impact : 5.5

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://nodejs.org/en/blog/vulnerability/december-2025-security-releases
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Una falla en la lógica de asignación de búferes de Node.js puede exponer memoria no inicializada cuando las asignaciones son interrumpidas, al usar el módulo 'vm' con la opción de tiempo de espera. Bajo condiciones de tiempo específicas, los búferes asignados con 'Buffer.alloc' y otras instancias de 'TypedArray' como 'Uint8Array' pueden contener datos residuales de operaciones anteriores, permitiendo que secretos en proceso como tokens o contraseñas se filtren o causando corrupción de datos. Si bien la explotación normalmente requiere una sincronización precisa o la ejecución de código en proceso, puede volverse explotable de forma remota cuando una entrada no confiable influye en la carga de trabajo y los tiempos de espera, lo que lleva a un potencial impacto en la confidencialidad y la integridad.

26 Feb 2026, 23:16

Type Values Removed Values Added
CWE CWE-120

20 Jan 2026, 21:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-01-20 21:16

Updated : 2026-04-15 00:35

NVD link : CVE-2025-55131

Mitre link : CVE-2025-55131

CVE.ORG link : CVE-2025-55131

JSON object : View

Products Affected

No product.

CWE
CWE-120

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')