Вразливість у Node.js HTTP: необроблена помилка TypeError через заголовок __proto__

Вразливість у Node.js HTTP (CVE-2026-21710) викликає необроблену помилку TypeError через заголовок __proto__, що може призвести до відмови в обслуговуванні.
CVE-2026-21710CVSS 7.5Runtime

Вразливість у Node.js HTTP: необроблена помилка TypeError через заголовок __proto__

Вразливість у Node.js HTTP (CVE-2026-21710) викликає необроблену помилку TypeError через заголовок __proto__, що може призвести до відмови в обслуговуванні.

CVSS
7.5 HIGH
EPSS
97.75%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Node.js виявлено помилку обробки HTTP-запитів, яка викликає необроблену помилку TypeError при отриманні заголовка __proto__ і доступі до req.headersDistinct. Це призводить до аварійного завершення роботи сервера без можливості перехоплення помилки стандартними обробниками.

Бізнес-вплив

Ця вразливість може спричинити аварійне завершення роботи HTTP-серверів на Node.js версій 20.x, 22.x, 24.x та 25.x, що впливає на доступність сервісів. Необроблена помилка TypeError може призвести до відмови в обслуговуванні, особливо при отриманні спеціально сформованих запитів з заголовком __proto__.

Рекомендовані дії адміністратора

Рекомендується перевірити наявність оновлень Node.js від офіційного постачальника та застосувати їх. Тимчасово слід обмежити доступ до HTTP-серверів та впровадити моніторинг логів на наявність запитів із заголовком __proto__. Також варто розглянути додаткові заходи з обробки винятків у коді, зокрема обгортання доступів до req.headersDistinct у блоки try/catch.

Джерела