CVE-2026-48618
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 — wyżej niż 45% wszystkich znanych CVE
Streszczenie
Błąd w obsłudze nazw hostów TLS w Node.js powoduje, że obsługa separatora kropek Unicode może prowadzić do obejścia uwierzytelniania dla symboli wieloznacznych (wildcard) w certyfikatach TLS z powodu niezgodności normalizacji nazw hostów między resolverem a weryfikatorem.
Ocena ryzyka
Może to prowadzić do naruszenia poufności danych lub obejścia zamierzonej granicy bezpieczeństwa w skonfigurowanych środowiskach, umożliwiając atakującemu podszycie się pod zaufany serwer.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla linii 22, 24 i 26 oraz weryfikację konfiguracji TLS pod kątem użycia symboli wieloznacznych.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js TLS hostname handling can cause Node.js unicode dot separator handling can lead to tls wildcard-depth authentication bypass due to resolver and verifier hostname normalization mismat. This can lead to confidentiality impact or bypass of the intended security boundary under affected configurations. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

