CVE-2026-48930
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
Podatność w Node.js dotyczy obsługi nazw hostów TLS, gdzie osadzone znaki null (nul) w nazwach hostów mogą prowadzić do cichego ponownego wiązania autorytetu z powodu obcinania ciągów znaków w resolver bindings. Problem występuje we wszystkich wspieranych liniach wydań: Node.js 22, Node.js 24 i Node.js 26.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do ominięcia mechanizmów bezpieczeństwa TLS, co może skutkować nieautoryzowanym dostępem do zasobów lub przechwyceniem komunikacji.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do najnowszej wersji łatającej dla używanej linii wydań (22, 24 lub 26) oraz unikanie używania nazw hostów z osadzonymi znakami null w konfiguracjach TLS.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js TLS hostname handling can cause Embedded-nul hostnames can lead to silent authority rebinding due to c-string truncation in resolver bindings. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

