CVE-2026-48617
NiskieCVSS 1.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W Node.js występuje luka w egzekwowaniu modelu uprawnień, która pozwala na obejście zabezpieczeń poprzez niewłaściwe sprawdzenie ścieżki w funkcji `process.report.writeReport()`. Może to prowadzić do naruszenia poufności lub obejścia zamierzonych granic bezpieczeństwa w dotkniętych konfiguracjach.
Ocena ryzyka
Luka ta może umożliwić nieautoryzowany dostęp do danych lub zasobów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Dotyczy to wszystkich wspieranych wersji Node.js: 22, 24 i 26.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Node.js, aby usunąć tę lukę oraz przegląd konfiguracji zabezpieczeń w celu zminimalizowania ryzyka. Należy również monitorować systemy pod kątem nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js Permission Model enforcement allows Bypass via `process.report.writeReport()` Path Misvalidation. This can lead to confidentiality impact or bypass of the intended security boundary under affected configurations. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

