Вразливість у Node.js HTTP: необроблена помилка TypeError через заголовок __proto__
Вразливість у Node.js HTTP (CVE-2026-21710) викликає необроблену помилку TypeError через заголовок __proto__, що може призвести до відмови в обслуговуванні.
- CVSS
- 7.5 HIGH
- EPSS
- 97.75%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Node.js виявлено помилку обробки HTTP-запитів, яка викликає необроблену помилку TypeError при отриманні заголовка __proto__ і доступі до req.headersDistinct. Це призводить до аварійного завершення роботи сервера без можливості перехоплення помилки стандартними обробниками.
Бізнес-вплив
Ця вразливість може спричинити аварійне завершення роботи HTTP-серверів на Node.js версій 20.x, 22.x, 24.x та 25.x, що впливає на доступність сервісів. Необроблена помилка TypeError може призвести до відмови в обслуговуванні, особливо при отриманні спеціально сформованих запитів з заголовком __proto__.
Рекомендовані дії адміністратора
Рекомендується перевірити наявність оновлень Node.js від офіційного постачальника та застосувати їх. Тимчасово слід обмежити доступ до HTTP-серверів та впровадити моніторинг логів на наявність запитів із заголовком __proto__. Також варто розглянути додаткові заходи з обробки винятків у коді, зокрема обгортання доступів до req.headersDistinct у блоки try/catch.