PT-2026-52061 · Openjs Foundation · Node.Js
Publicado
2026-06-23
·
Atualizado
2026-06-26
·
CVE-2026-48930
CVSS v3.1
5.6
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Node.js versões 22.x e anteriores
Node.js versões 24.x e anteriores
Node.js versões 26.x e anteriores
Description
Uma falha no tratamento de nomes de host TLS permite que nomes de host com caracteres nulos embutidos causem o redirecionamento silencioso de autoridade (authority rebinding). Isso ocorre devido ao truncamento de c-string em vinculações de resolução, onde um caractere nulo na string do nome do host encerra a string prematuramente no código C subjacente, podendo levar a aplicação a se conectar a um destino indesejado.
Recommendations
Atualize o Node.js 22 para a versão corrigida mais recente.
Atualize o Node.js 24 para a versão corrigida mais recente.
Atualize o Node.js 26 para a versão 26.3.1-1.1 ou posterior.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node.Js