Katalog CVE

CVE-2026-48936

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Podatność w API uprawnień Node.js umożliwia uruchomienie lokalnego serwera przez gniazdo domeny Unix, nawet bez wymaganego uprawnienia `--allow-net`. Problem dotyczy linii wydania Node.js 26.

Ocena ryzyka

Atakujący może uruchomić nieautoryzowany serwer lokalny, co może prowadzić do wycieku danych lub dalszej eskalacji uprawnień w środowisku.

Rekomendacja

Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatki dla linii 26 oraz ograniczenie dostępu do gniazd domeny Unix w konfiguracji systemu.

Oryginalny opis (angielski, źródło NVD)

A flaw in Node.js Permission API can cause a local server to be started (via a Unix domain socket), even without the `--allow-net` permission. This vulnerability affects one supported release line: **Node.js 26**.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS