Podatność w Node.js TLS polega na nieprawidłowej obsłudze nazw hostów zawierających osadzony znak null (NUL). Może prowadzić do tzw. silent authority rebinding, czyli cichego przekierowania połączenia do niezamierzonego serwera, co stanowi poważne zagrożenie dla bezpieczeństwa komunikacji TLS.
▸ Pokaż oryginał (EN)
A flaw in Node.js TLS hostname handling can cause Embedded-nul hostnames can lead to silent authority rebinding due to c-string truncation in resolver bindings. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.
Błąd wynika z obcinania ciągów znaków (C-string truncation) w powiązaniach resolvera — biblioteki obsługujące ciągi znaków w stylu języka C traktują bajt NUL (\0) jako koniec łańcucha. Jeśli atakujący może wpłynąć na wartość hostname zawierającą osadzony bajt NUL, część nazwy po tym bajcie zostaje pominięta podczas weryfikacji TLS. W rezultacie mechanizm weryfikacji tożsamości serwera (hostname validation) może zaakceptować certyfikat nieodpowiadający faktycznemu docelowemu hostowi, prowadząc do cichego przekierowania połączenia do innego authority bez wiedzy aplikacji.
Atakujący może doprowadzić do ominięcia weryfikacji tożsamości serwera TLS i przekierowania szyfrowanego ruchu do niezamierzonego hosta, co umożliwia przechwycenie lub manipulację danymi przesyłanymi przez połączenie (atak typu man-in-the-middle). Skutkuje to naruszeniem poufności i integralności danych oraz możliwością przejęcia sesji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły aktualizacji dostępne są w oficjalnym biuletynie bezpieczeństwa Node.js z czerwca 2026: https://nodejs.org/en/blog/vulnerability/june-2026-security-releases
Node.js 22, Node.js 24 oraz Node.js 26 — wszystkie wspierane linie wydań Node.js.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HNode.js
APPNodejs22.22.324.16.026.3.0
Powiązane podatności
Node.js: obejście modelu uprawnień przez Unix Domain Socket
Obejście modelu uprawnień w Node.js poprzez spreparowane symlinki
Command injection w aplikacjach Windows korzystających z CreateProcess
Path traversal w Permission Model Node.js przez monkey-patching Buffer
Various `node:fs` functions allow specifying paths as either strings or `Uint8Array` objects. In Node.js envir...