O Node.js corrigiu múltiplas vulnerabilidades que podem causar negação de serviço (DoS) e afetar aplicações em produção, em uma nova rodada de updates publicada em 24 de março de 2026.
As correções foram liberadas para as linhas 20.x, 22.x, 24.x e 25.x, nas versões 20.20.2, 22.22.2, 24.14.1 e 25.8.2. Segundo o projeto, o pacote corrige duas falhas de alta severidade, cinco de média e duas de baixa.
Uma das mais críticas é a CVE-2026-21637, em que uma exceção gerada no SNICallback pode escapar do tratamento de erro do TLS e derrubar o processo com uma uncaught exception, abrindo caminho para DoS em servidores que usam esse recurso.
O conjunto de correções inclui ainda as CVE-2026-21715 e CVE-2026-21716, que afetam o modelo de permissões e podem enfraquecer restrições de acesso a arquivos em ambientes que usam –permission.
A atualização também corrige problemas na Web Cryptography API, no nghttp2 e em colisões relacionadas a índices de array.
Embora nem todas levem diretamente à indisponibilidade, elas ampliam o risco para APIs, serviços TLS e aplicações expostas à internet que dependem do runtime para operar com estabilidade e isolamento.
O caso ganha peso porque o Node.js segue entre os runtimes mais usados em aplicações web e back-end.
Em ambientes de produção, falhas que derrubam processos ou reduzem a eficácia de controles internos podem afetar disponibilidade, segurança operacional e resposta a incidentes.
