CVE-2026-48931
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Błąd w agencie HTTP Node.js może spowodować, że klient zaakceptuje odpowiedź wysłaną przed wysłaniem żądania. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 i Node.js 26.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzyknięcia fałszywej odpowiedzi, co może prowadzić do naruszenia integralności danych lub ataków typu man-in-the-middle.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla używanej linii wydań (22, 24 lub 26).
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js HTTP Agent can cause a client to accept as valid a response that is send before the client has sent the request. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

