CVE-2026-48619
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 43 — wyżej niż 43% wszystkich znanych CVE
Streszczenie
Błąd w kliencie HTTP/2 Node.js umożliwia serwerowi wysłanie nieograniczonej liczby ramek ORIGIN, co może prowadzić do błędu braku pamięci (Out of Memory) po stronie klienta. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Ocena ryzyka
Atakujący serwer może spowodować wyczerpanie pamięci klienta, co prowadzi do awarii lub odmowy usługi (DoS) dla aplikacji korzystającej z Node.js.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla używanej linii wydań (22, 24 lub 26). Jeśli aktualizacja nie jest możliwa, należy ograniczyć zaufanie do serwerów HTTP/2 lub zastosować reguły firewall ograniczające liczbę ramek ORIGIN.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js HTTP/2 client allows a server to send an unlimited number of ORIGIN frames, which could lead to an Out of Memory error on the client. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

