📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 3h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 7h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 8h Global vulnerability التعليم العالي CRITICAL 17h Global data_breach القطاع الحكومي HIGH 18h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 18h Global malware تطوير البرمجيات CRITICAL 18h Global phishing قطاعات متعددة HIGH 18h Global vulnerability تطبيقات الويب CRITICAL 19h Global apt البنية التحتية الحرجة CRITICAL 19h
الثغرات

CVE-2025-59466

مرتفع
We have identified a bug in Node.js error handling where "Maximum call stack size exceeded" errors become uncatchable when `async_hooks.createHook()` is enabled. Instead of reaching `process.on('uncau
CWE-248 — نوع الضعف
نُشر: Jan 20, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
7.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

We have identified a bug in Node.js error handling where "Maximum call stack size exceeded" errors become uncatchable when `async_hooks.createHook()` is enabled. Instead of reaching `process.on('uncaughtException')`, the process terminates, making the crash unrecoverable. Applications that rely on `AsyncLocalStorage` (v22, v20) or `async_hooks.createHook()` (v24, v22, v20) become vulnerable to denial-of-service crashes triggered by deep recursion under specific conditions.

🤖 ملخص AI

CVE-2025-59466 is a denial-of-service vulnerability in Node.js affecting versions 20, 22, and 24 when async_hooks or AsyncLocalStorage are enabled. The vulnerability causes uncatchable stack overflow errors that terminate the process instead of triggering exception handlers, making applications unrecoverable. This impacts any Node.js application using async context tracking, which is increasingly common in modern Saudi enterprise applications.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 2, 2026 11:02
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations relying on Node.js for backend services: (1) Banking/SAMA-regulated fintech platforms using async context for transaction tracking and request isolation; (2) Government digital transformation initiatives (NDMO, NCA) running Node.js microservices; (3) Telecom operators (STC, Mobily, Zain) using Node.js for API gateways and billing systems; (4) Healthcare providers using Node.js for patient data management systems; (5) E-commerce and digital payment platforms. The vulnerability enables remote attackers to trigger denial-of-service by inducing deep recursion, causing unrecoverable process crashes without proper error logging.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Telecommunications Healthcare E-commerce and Digital Payments Energy and Utilities Education
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all Node.js applications using async_hooks.createHook() or AsyncLocalStorage (check package.json dependencies and code for these APIs)

2. Implement process monitoring and auto-restart mechanisms (PM2, systemd, Docker health checks) as temporary mitigation

3. Add request depth/recursion limits in application code to prevent stack exhaustion



PATCHING GUIDANCE:

1. Upgrade Node.js to patched versions: v20.x (20.13.0+), v22.x (22.3.0+), v24.x (24.1.0+)

2. Test patches in staging environment before production deployment

3. Coordinate with development teams to validate async_hooks functionality post-patch



COMPENSATING CONTROLS (if immediate patching not possible):

1. Disable async_hooks.createHook() and AsyncLocalStorage if not critical to application logic

2. Implement request timeout and recursion depth limits at application level

3. Deploy WAF rules to detect and block requests with excessive nesting/recursion patterns

4. Use reverse proxy (nginx) to limit request complexity and depth



DETECTION RULES:

1. Monitor for unexpected Node.js process crashes with 'Maximum call stack size exceeded' in logs

2. Alert on rapid process restarts (>5 restarts in 5 minutes)

3. Track error logs for uncaught exceptions that bypass process.on('uncaughtException')

4. Monitor CPU and memory spikes preceding process termination
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع تطبيقات Node.js التي تستخدم async_hooks.createHook() أو AsyncLocalStorage (تحقق من package.json والكود)

2. تنفيذ آليات مراقبة العمليات وإعادة التشغيل التلقائي (PM2، systemd، Docker health checks) كتخفيف مؤقت

3. إضافة حدود عمق الطلب/التكرار في كود التطبيق لمنع استنزاف المكدس



إرشادات التصحيح:

1. ترقية Node.js إلى الإصدارات المصححة: v20.x (20.13.0+)، v22.x (22.3.0+)، v24.x (24.1.0+)

2. اختبار التصحيحات في بيئة التجريب قبل نشرها في الإنتاج

3. التنسيق مع فرق التطوير للتحقق من وظائف async_hooks بعد التصحيح



الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):

1. تعطيل async_hooks.createHook() و AsyncLocalStorage إذا لم تكن حرجة

2. تنفيذ حدود انتظار الطلب وحدود عمق التكرار على مستوى التطبيق

3. نشر قواعد WAF للكشف عن طلبات التكرار المفرط

4. استخدام reverse proxy (nginx) لتحديد تعقيد الطلب



قواعد الكشف:

1. مراقبة أعطال عمليات Node.js غير المتوقعة مع 'Maximum call stack size exceeded'

2. تنبيهات إعادة التشغيل السريعة (>5 مرات في 5 دقائق)

3. تتبع سجلات الأخطاء للاستثناءات غير المعالجة

4. مراقبة ارتفاعات CPU والذاكرة قبل إنهاء العملية
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - Change management procedures ECC 2024 A.8.2.3 - User access management and segregation of duties
🔵 SAMA CSF
SAMA CSF ID.RA-1 - Asset management and vulnerability identification SAMA CSF PR.IP-12 - Software development and change management SAMA CSF DE.CM-1 - Detection and analysis of anomalies
🟡 ISO 27001:2022
ISO 27001:2022 A.12.2.1 - Change management ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities ISO 27001:2022 A.8.1.1 - Inventory of assets
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates for system components PCI DSS 6.3.1 - Identification and remediation of security vulnerabilities
📦 المنتجات المتأثرة 4 منتج
nodejs:node.js
nodejs:node.js
nodejs:node.js
nodejs:node.js
📊 CVSS Score
7.5
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityN — None / Network
IntegrityN — None / Network
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.5
CWECWE-248
EPSS0.03%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-20
المصدر nvd
المشاهدات 4
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-248
🏢 توجيهات البائع
🔗 https://nodejs.org/en/blog/vulnerability/december-20...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.