CVE-2026-48615
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Błąd w obsłudze błędów tunelu proxy w Node.js może ujawnić poświadczenia proxy w komunikatach błędów `ERR_PROXY_TUNNEL`. Gdy poświadczenia są osadzone w adresie URL proxy, mogą zostać ujawnione przez ścieżki obsługi błędów i przechwycone przez logi, diagnostykę lub inne mechanizmy konsumujące błędy.
Ocena ryzyka
Ryzyko polega na potencjalnym wycieku wrażliwych poświadczeń proxy do logów systemowych lub innych źródeł diagnostycznych, co może umożliwić nieautoryzowany dostęp do zasobów sieciowych.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla linii wydań 22, 24 i 26. Należy również przejrzeć i oczyścić istniejące logi z potencjalnie ujawnionymi poświadczeniami.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js proxy tunnel error handling could expose proxy credentials in `ERR_PROXY_TUNNEL` error messages. When proxy credentials are embedded in the proxy URL, they may be exposed through error handling paths and captured by logs, diagnostics, or other error consumers. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

