CVE-2026-48934
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W Node.js wykryto błąd w weryfikacji hosta TLS, który umożliwia atakującemu ominięcie walidacji certyfikatu. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do przeprowadzenia ataku typu man-in-the-middle, podszywając się pod zaufany serwer i przechwytując lub modyfikując przesyłane dane.
Rekomendacja
Należy niezwłocznie zaktualizować Node.js do najnowszej wersji łatającej podatność dla używanej linii wydań (22, 24 lub 26).
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js TLS host verification can cause an attacker to bypass certification validation. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

