安全更新现已发布

Node.js 18.x、20.x 和 21.x 版本线现已推出更新，以解决以下问题。

在 Windows 系统上，即使未启用 shell 选项，通过 child_process.spawn 的参数仍可能存在命令注入风险（CVE-2025-27980） - （高风险）

由于 child_process.spawn / child_process.spawnSync 中处理批处理文件的方式不当，恶意命令行参数可以注入任意命令并执行代码，即使未启用 shell 选项也是如此。

影响范围：

此漏洞影响所有当前活动的发布线：18.x、20.x、21.x。感谢 ryotak 报告此漏洞，并感谢 Ben Noordhuis 解决了这一问题。

总结

Node.js 项目计划在 2025 年 4 月 9 日或之后，为 18.x、20.x、21.x 发布线推出新版本，以解决：

1 个高风险问题

Node.js 的 18.x 发布线受到 1 个高风险问题的影响。Node.js 的 20.x 发布线受到 1 个高风险问题的影响。Node.js 的 21.x 发布线受到 1 个高风险问题的影响。

发布时间

更新将于 2025 年 4 月 9 日或之后发布。