Krytyczna luka w Node.js: błąd obsługi nazw hostów TLS

Krytyczna luka w Node.js (CVE-2026-48930) umożliwia przejęcie autoryzacji TLS przez błąd obsługi nazw hostów. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-48930CVSS 9.8DNS

Krytyczna luka w Node.js: błąd obsługi nazw hostów TLS

Krytyczna luka w Node.js (CVE-2026-48930) umożliwia przejęcie autoryzacji TLS przez błąd obsługi nazw hostów. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
32.46%
Aktywnie wykorzystywana
brak w KEV
Produkt
node.js

Co wiadomo

W Node.js wykryto poważną lukę w obsłudze nazw hostów TLS, gdzie osadzone znaki null mogą prowadzić do cichego przejęcia autoryzacji przez obcięcie łańcucha znaków w mechanizmie rozwiązywania nazw. Luka dotyczy wszystkich wspieranych wersji Node.js 22, 24 i 26.

Wpływ biznesowy

Ta krytyczna luka (CVSS 9.8) może umożliwić atakującym przejęcie kontroli nad połączeniami TLS, co zagraża bezpieczeństwu aplikacji i danych przesyłanych przez sieć. Operatorzy infrastruktury korzystającej z Node.js powinni traktować tę podatność priorytetowo, gdyż może ona prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji bezpieczeństwa od Node.js oraz ich szybkie wdrożenie. W międzyczasie warto ograniczyć ekspozycję usług korzystających z TLS, monitorować logi pod kątem nietypowych zdarzeń związanych z rozwiązywaniem nazw oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.

Źródła