CVE-2026-48936
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Podatność w API uprawnień Node.js umożliwia uruchomienie lokalnego serwera przez gniazdo domeny Unix, nawet bez wymaganego uprawnienia `--allow-net`. Problem dotyczy linii wydania Node.js 26.
Ocena ryzyka
Atakujący może uruchomić nieautoryzowany serwer lokalny, co może prowadzić do wycieku danych lub dalszej eskalacji uprawnień w środowisku.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatki dla linii 26 oraz ograniczenie dostępu do gniazd domeny Unix w konfiguracji systemu.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js Permission API can cause a local server to be started (via a Unix domain socket), even without the `--allow-net` permission. This vulnerability affects one supported release line: **Node.js 26**.

