Node.js - CVE-2026-48930
Date de publication :
Il s'agit d'une vulnérabilité dans la résolution des noms d'hôte TLS de Node.js.
Node.js est un environnement d'exécution JavaScript côté serveur, conçu pour développer des applications réseau, des API et des services backend asynchrones et événementiels.
Un octet nul embarqué dans le nom d'hôte provoque une troncature de type chaîne C lors de la résolution. Le nom résolu peut alors différer du nom validé par TLS.
Elle permet un rebinding silencieux d'autorité et le détournement de connexions TLS vers un serveur non légitime.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Node.js versions 22.22.3 et antérieures de la branche 22.x
• Node.js versions 24.16.0 et antérieures de la branche 24.x
• Node.js versions 26.3.0 et antérieures de la branche 26.x
Solutions ou recommandations
• Node.js version 24.17.0 et supérieures pour la branche 24.x
• Node.js version 26.3.1 et supérieures pour la branche 26.x