Katalog CVE

CVE-2026-48930

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

Podatność w Node.js dotyczy obsługi nazw hostów TLS, gdzie osadzone znaki null (nul) w nazwach hostów mogą prowadzić do cichego ponownego wiązania autorytetu z powodu obcinania ciągów znaków w resolver bindings. Problem występuje we wszystkich wspieranych liniach wydań: Node.js 22, Node.js 24 i Node.js 26.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do ominięcia mechanizmów bezpieczeństwa TLS, co może skutkować nieautoryzowanym dostępem do zasobów lub przechwyceniem komunikacji.

Rekomendacja

Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla używanej linii wydań (22, 24 lub 26) oraz unikanie używania nazw hostów z osadzonymi znakami null w konfiguracjach TLS.

Oryginalny opis (angielski, źródło NVD)

A flaw in Node.js TLS hostname handling can cause Embedded-nul hostnames can lead to silent authority rebinding due to c-string truncation in resolver bindings. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS