Katalog CVE

CVE-2026-48615

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

Błąd w obsłudze błędów tunelu proxy w Node.js może ujawnić poświadczenia proxy w komunikatach błędów `ERR_PROXY_TUNNEL`. Gdy poświadczenia są osadzone w adresie URL proxy, mogą zostać ujawnione przez ścieżki obsługi błędów i przechwycone przez logi, diagnostykę lub inne mechanizmy konsumujące błędy.

Ocena ryzyka

Ryzyko polega na potencjalnym wycieku wrażliwych poświadczeń proxy do logów systemowych lub innych źródeł diagnostycznych, co może umożliwić nieautoryzowany dostęp do zasobów sieciowych.

Rekomendacja

Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla linii wydań 22, 24 i 26. Należy również przejrzeć i oczyścić istniejące logi z potencjalnie ujawnionymi poświadczeniami.

Oryginalny opis (angielski, źródło NVD)

A flaw in Node.js proxy tunnel error handling could expose proxy credentials in `ERR_PROXY_TUNNEL` error messages. When proxy credentials are embedded in the proxy URL, they may be exposed through error handling paths and captured by logs, diagnostics, or other error consumers. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS