Katalog CVE

CVE-2026-48619

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.58%

Percentyl 43 — wyżej niż 43% wszystkich znanych CVE

Streszczenie

Błąd w kliencie HTTP/2 Node.js umożliwia serwerowi wysłanie nieograniczonej liczby ramek ORIGIN, co może prowadzić do błędu braku pamięci (Out of Memory) po stronie klienta. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

Ocena ryzyka

Atakujący serwer może spowodować wyczerpanie pamięci klienta, co prowadzi do awarii lub odmowy usługi (DoS) dla aplikacji korzystającej z Node.js.

Rekomendacja

Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla używanej linii wydań (22, 24 lub 26). Jeśli aktualizacja nie jest możliwa, należy ograniczyć zaufanie do serwerów HTTP/2 lub zastosować reguły firewall ograniczające liczbę ramek ORIGIN.

Oryginalny opis (angielski, źródło NVD)

A flaw in Node.js HTTP/2 client allows a server to send an unlimited number of ORIGIN frames, which could lead to an Out of Memory error on the client. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS