Błąd w Node.js HTTP powodujący nieobsługiwany TypeError przy nagłówku __proto__

Node.js ma krytyczny błąd HTTP powodujący TypeError przy nagłówku __proto__. Sprawdź zalecenia i zabezpiecz swoje serwery Node.js.
CVE-2026-21710CVSS 7.5Runtime

Błąd w Node.js HTTP powodujący nieobsługiwany TypeError przy nagłówku __proto__

Node.js ma krytyczny błąd HTTP powodujący TypeError przy nagłówku __proto__. Sprawdź zalecenia i zabezpiecz swoje serwery Node.js.

CVSS
7.5 HIGH
EPSS
97.75%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Node.js wykryto błąd w obsłudze żądań HTTP, który wywołuje nieobsługiwany TypeError, gdy żądanie zawiera nagłówek o nazwie __proto__ i aplikacja odwołuje się do req.headersDistinct. Błąd ten występuje w wersjach 20.x, 22.x, 24.x oraz 25.x Node.js.

Wpływ biznesowy

Ten błąd może powodować awarie serwera HTTP Node.js, gdy otrzyma on specjalnie spreparowane żądanie z nagłówkiem __proto__. Ponieważ wyjątek jest rzucany synchronicznie i nie może być przechwycony przez standardowe mechanizmy obsługi błędów, może to prowadzić do przerwania działania aplikacji i potencjalnych problemów z dostępnością usług.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji i poprawek od dostawcy Node.js dla wersji 20.x, 22.x, 24.x i 25.x. W międzyczasie warto ograniczyć ekspozycję serwera na nieznane lub podejrzane żądania HTTP, monitorować logi pod kątem wystąpienia nagłówków __proto__ oraz rozważyć implementację dodatkowych mechanizmów walidacji nagłówków w aplikacji. Priorytetowo traktuj aktualizacje i testy stabilności po wdrożeniu poprawek.

Źródła