Katalog CVE

CVE-2026-48618

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 45 — wyżej niż 45% wszystkich znanych CVE

Streszczenie

Błąd w obsłudze nazw hostów TLS w Node.js powoduje, że obsługa separatora kropek Unicode może prowadzić do obejścia uwierzytelniania dla symboli wieloznacznych (wildcard) w certyfikatach TLS z powodu niezgodności normalizacji nazw hostów między resolverem a weryfikatorem.

Ocena ryzyka

Może to prowadzić do naruszenia poufności danych lub obejścia zamierzonej granicy bezpieczeństwa w skonfigurowanych środowiskach, umożliwiając atakującemu podszycie się pod zaufany serwer.

Rekomendacja

Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla linii 22, 24 i 26 oraz weryfikację konfiguracji TLS pod kątem użycia symboli wieloznacznych.

Oryginalny opis (angielski, źródło NVD)

A flaw in Node.js TLS hostname handling can cause Node.js unicode dot separator handling can lead to tls wildcard-depth authentication bypass due to resolver and verifier hostname normalization mismat. This can lead to confidentiality impact or bypass of the intended security boundary under affected configurations. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS