Критична вразливість у Node.js TLS обробці імен хостів (CVE-2026-48930)

Вразливість у Node.js TLS обробці імен хостів може призвести до переназначення авторитету. Оновіть Node.js 22, 24, 26 для захисту.
CVE-2026-48930CVSS 9.8DNS

Критична вразливість у Node.js TLS обробці імен хостів (CVE-2026-48930)

Вразливість у Node.js TLS обробці імен хостів може призвести до переназначення авторитету. Оновіть Node.js 22, 24, 26 для захисту.

CVSS
9.8 CRITICAL
EPSS
32.46%
Активно використовується
немає в KEV
Продукт
node.js

Що відомо

Вразливість у Node.js пов’язана з обробкою TLS імен хостів, де вбудовані нульові символи можуть спричинити непомітне переназначення авторитету через обрізання рядків у резольвері. Проблема зачіпає підтримувані версії Node.js 22, 24 та 26.

Бізнес-вплив

Ця критична вразливість може дозволити зловмисникам маніпулювати DNS-запитами, що призведе до перенаправлення трафіку або компрометації безпеки TLS-з’єднань. Для організацій, які використовують Node.js у своїй інфраструктурі, це створює ризик витоку даних або атак посередника (MITM).

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень від Node.js для версій 22, 24 та 26 і застосувати їх. Якщо оновлення недоступні, слід обмежити експозицію сервісів, що використовують TLS у Node.js, переглянути журнали на предмет підозрілої активності та пріоритезувати виправлення цієї вразливості.

Джерела