CVE-2026-48928
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Niespójność w dopasowywaniu nazw hostów w Node.js może prowadzić do obejścia polityki zaufania w konfiguracjach mTLS z wieloma kontekstami. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do obejścia mechanizmów uwierzytelniania wzajemnego TLS, co może skutkować nieautoryzowanym dostępem do chronionych zasobów lub przechwyceniem komunikacji.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla używanej linii wydań (22.x, 24.x lub 26.x) po opublikowaniu odpowiedniego łatania bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
A inconsistency in Node.js hostname matching can cause a trust-policy bypass in multi-context mTLS setups. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

