CVE-2026-21636

Nome do Software Vulnerável e Versões Afetadas Node.js versão 25

Descrição Uma vulnerabilidade no modelo de permissões permite que conexões Unix Domain Socket (UDS) contornem restrições de rede quando --permission está ativado. Mesmo sem --allow-net, entradas controladas por atacantes, como URLs ou opções de socketPath, podem se conectar a soquetes locais arbitrários por meio de net, tls ou undici/fetch. Isso viola a fronteira de segurança pretendida pelo modelo de permissões e permite acesso a serviços locais privilegiados, potencialmente levando a elevação de privilégios, exposição de dados ou execução de código local. As permissões de rede (--allow-net) estão atualmente na fase experimental.

Recomendações Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.