Критична вразливість у Node.js TLS обробці імен хостів (CVE-2026-48930)
Вразливість у Node.js TLS обробці імен хостів може призвести до переназначення авторитету. Оновіть Node.js 22, 24, 26 для захисту.
- CVSS
- 9.8 CRITICAL
- EPSS
- 32.46%
- Активно використовується
- немає в KEV
- Продукт
- node.js
Що відомо
Вразливість у Node.js пов’язана з обробкою TLS імен хостів, де вбудовані нульові символи можуть спричинити непомітне переназначення авторитету через обрізання рядків у резольвері. Проблема зачіпає підтримувані версії Node.js 22, 24 та 26.
Бізнес-вплив
Ця критична вразливість може дозволити зловмисникам маніпулювати DNS-запитами, що призведе до перенаправлення трафіку або компрометації безпеки TLS-з’єднань. Для організацій, які використовують Node.js у своїй інфраструктурі, це створює ризик витоку даних або атак посередника (MITM).
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень від Node.js для версій 22, 24 та 26 і застосувати їх. Якщо оновлення недоступні, слід обмежити експозицію сервісів, що використовують TLS у Node.js, переглянути журнали на предмет підозрілої активності та пріоритезувати виправлення цієї вразливості.