Katalog CVE

CVE-2026-48935

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Podatność w API uprawnień Node.js umożliwia modyfikację metadanych pliku nawet na ścieżce ustawionej jako tylko do odczytu za pomocą flagi `--allow-fs-read`. Problem dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

Ocena ryzyka

Organizacja może stracić kontrolę nad integralnością plików, które powinny być chronione przed zapisem, co może prowadzić do nieautoryzowanych zmian metadanych i potencjalnych naruszeń bezpieczeństwa.

Rekomendacja

Należy niezwłocznie zaktualizować Node.js do najnowszej wersji łatającej dla używanej linii wydań (22, 24 lub 26) oraz monitorować oficjalne biuletyny bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

A flaw in Node.js Permission API can cause a file metadata to be modified even on a path that was set as read-only with e.g. `--allow-fs-read`. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS