Empresa
¿Quiénes somos? Visión y Valores
Herramientas
Email Checker Vigía DNS SSL Checker Password Strength HTTP Headers
Alertas
Todas las alertas Vulnerabilidades Incidentes Solo críticas En CISA KEV
Editorial
Análisis técnico ¿Cuál es mi IP?
Blog
Blog 2MCI ISO 27001 Amenazas LATAM Recursos Gratuitos eBook Gratuito Newsletter Podcast / YouTube
Empresa
Servicios Contacto Suscribirse al Newsletter
🆕 Nuevo en 2MCI
✨ Crear cuenta gratis 🛠️ Ver herramientas sin registro
Ya tengo cuenta
🔒 Iniciar sesión
Equipo
🏠 Portal interno 2MCI
Inicio/ Alertas/ Vulnerabilidad
Medio CVE-2025-23167 OpenJS Foundation

CVE-2025-23167: Vulnerabilidad de request smuggling en Node.js 20 por validación insuficiente en HTTP/1

Vulnerabilidad · Publicado 31/05/2026 · Actualizado 01/06/2026

Resumen ejecutivo

Node.js 20 contiene una falla en su analizador HTTP (llhttp) que acepta terminadores de encabezado malformados (`\r\n\rX` en lugar de `\r\n\r\n`), permitiendo request smuggling. Esta inconsistencia habilita a atacantes para eludir controles de acceso en proxies y enviar solicitudes no autorizadas. La vulnerabilidad afecta únicamente a Node.js 20.x anteriores a la actualización de llhttp v9. Empresas en LATAM con infraestructuras web basadas en Node.js deben verificar y actualizar inmediatamente.

Análisis asistido por IA, contexto LATAM revisado por el equipo 2MCI.

Descripción técnica

Descripción

Microsoft ha publicado una actualización de seguridad para abordar esta vulnerabilidad. Consulta el advisory oficial para detalles técnicos completos.

Identificador CVE

CVE-2025-23167 — NVD National Vulnerability Database

Fuente oficial

Advisory publicado por Microsoft Security Response Center (MSRC). Consulta el advisory completo para vectores de ataque, sistemas afectados y actualizaciones disponibles.

¿Qué hacer?
  • Inventariar instancias de Node.js 20.x en producción
  • Actualizar llhttp a v9 o superior (incluido en Node.js 20.13+)
  • Revisar logs de proxy para patrones de request smuggling (`\r\n\rX`)
  • Validar configuraciones de proxy inverso (nginx, Apache) con validación estricta de headers
  • Priorizar actualización en entornos expuestos a internet
  • Consultar CHANGELOG oficial de Node.js para versiones específicas parcheadas

Fuentes originales

MSRC Advisory ↗ MSRC Update Guide ↗
microsoft msrc patch cve-2025-23167
Esta alerta fue generada automáticamente a partir del Microsoft Security Response Center.
← Volver a todas las alertas