Krytyczna luka w Node.js: błąd obsługi nazw hostów TLS
Krytyczna luka w Node.js (CVE-2026-48930) umożliwia przejęcie autoryzacji TLS przez błąd obsługi nazw hostów. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 32.46%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- node.js
Co wiadomo
W Node.js wykryto poważną lukę w obsłudze nazw hostów TLS, gdzie osadzone znaki null mogą prowadzić do cichego przejęcia autoryzacji przez obcięcie łańcucha znaków w mechanizmie rozwiązywania nazw. Luka dotyczy wszystkich wspieranych wersji Node.js 22, 24 i 26.
Wpływ biznesowy
Ta krytyczna luka (CVSS 9.8) może umożliwić atakującym przejęcie kontroli nad połączeniami TLS, co zagraża bezpieczeństwu aplikacji i danych przesyłanych przez sieć. Operatorzy infrastruktury korzystającej z Node.js powinni traktować tę podatność priorytetowo, gdyż może ona prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji bezpieczeństwa od Node.js oraz ich szybkie wdrożenie. W międzyczasie warto ograniczyć ekspozycję usług korzystających z TLS, monitorować logi pod kątem nietypowych zdarzeń związanych z rozwiązywaniem nazw oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.