Katalog CVE

CVE-2026-48928

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Niespójność w dopasowywaniu nazw hostów w Node.js może prowadzić do obejścia polityki zaufania w konfiguracjach mTLS z wieloma kontekstami. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do obejścia mechanizmów uwierzytelniania wzajemnego TLS, co może skutkować nieautoryzowanym dostępem do chronionych zasobów lub przechwyceniem komunikacji.

Rekomendacja

Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla używanej linii wydań (22.x, 24.x lub 26.x) po opublikowaniu odpowiedniego łatania bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

A inconsistency in Node.js hostname matching can cause a trust-policy bypass in multi-context mTLS setups. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS