CVE-2026-48935
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Podatność w API uprawnień Node.js umożliwia modyfikację metadanych pliku nawet na ścieżce ustawionej jako tylko do odczytu za pomocą flagi `--allow-fs-read`. Problem dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Ocena ryzyka
Organizacja może stracić kontrolę nad integralnością plików, które powinny być chronione przed zapisem, co może prowadzić do nieautoryzowanych zmian metadanych i potencjalnych naruszeń bezpieczeństwa.
Rekomendacja
Należy niezwłocznie zaktualizować Node.js do najnowszej wersji łatającej dla używanej linii wydań (22, 24 lub 26) oraz monitorować oficjalne biuletyny bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js Permission API can cause a file metadata to be modified even on a path that was set as read-only with e.g. `--allow-fs-read`. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

