Katalog CVE

CVE-2026-9697

WysokieCVSS 7.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

W bibliotece undici wykryto podatność polegającą na tym, że ProxyAgent ignoruje opcję requestTls podczas korzystania z proxy SOCKS5. Powoduje to, że połączenia HTTPS przez tunel SOCKS5 używają domyślnego magazynu zaufania Node.js zamiast konfiguracji użytkownika (ca, cert, key, rejectUnauthorized, servername).

Ocena ryzyka

Organizacje, które przypinają certyfikaty do wewnętrznego urzędu certyfikacji (CA) za pomocą requestTls.ca, tracą tę ochronę przy użyciu proxy SOCKS5. Atakujący typu man-in-the-middle (MITM) może odczytać i modyfikować ruch HTTPS, co prowadzi do naruszenia poufności i integralności danych.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę undici do wersji 7.28.0 lub 8.5.0. Jeśli aktualizacja nie jest możliwa, należy tymczasowo użyć proxy HTTP zamiast SOCKS5, gdzie opcja requestTls jest poprawnie honorowana.

Oryginalny opis (angielski, źródło NVD)

Impact: undici's ProxyAgent silently drops the requestTls option when configured with a SOCKS5 proxy URI (socks5:// or socks://). The target HTTPS connection through the SOCKS5 tunnel falls back to Node's default trust store, ignoring user-configured ca, cert, key, rejectUnauthorized, and servername settings. Applications that pin to an internal or corporate CA via requestTls.ca will, when their proxy URI is SOCKS5, get the default Mozilla CA bundle as the trust anchor instead. Any cert signed by any publicly-trusted CA for the target hostname is accepted, breaking the intended pin and enabling MITM read and tamper of the HTTPS exchange. Affected applications are those that use undici's ProxyAgent (or Socks5ProxyAgent directly) with SOCKS5 AND rely on requestTls for TLS scope restriction. The bug was introduced in undici 7.23.0 when SOCKS5 support was added. Patches: Upgrade to undici v7.28.0 or v8.5.0. Workarounds: No workaround is available within the SOCKS5 path. If a SOCKS5 proxy with TLS scope restriction is required and an upgrade is not yet possible, route the traffic through an HTTP-proxy ProxyAgent instead, where requestTls is honored correctly.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS