CRITICAL🇬🇧 English

CVE-2026-48930

Node.js TLS: błąd obsługi hostname z null-bajtem prowadzi do przekierowania authority

CVSS 9.8v3.0pub. 2026-06-26

Podatność w Node.js TLS polega na nieprawidłowej obsłudze nazw hostów zawierających osadzony znak null (NUL). Może prowadzić do tzw. silent authority rebinding, czyli cichego przekierowania połączenia do niezamierzonego serwera, co stanowi poważne zagrożenie dla bezpieczeństwa komunikacji TLS.

Pokaż oryginał (EN)

A flaw in Node.js TLS hostname handling can cause Embedded-nul hostnames can lead to silent authority rebinding due to c-string truncation in resolver bindings. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

🤖 Analiza AI
Jak działa

Błąd wynika z obcinania ciągów znaków (C-string truncation) w powiązaniach resolvera — biblioteki obsługujące ciągi znaków w stylu języka C traktują bajt NUL (\0) jako koniec łańcucha. Jeśli atakujący może wpłynąć na wartość hostname zawierającą osadzony bajt NUL, część nazwy po tym bajcie zostaje pominięta podczas weryfikacji TLS. W rezultacie mechanizm weryfikacji tożsamości serwera (hostname validation) może zaakceptować certyfikat nieodpowiadający faktycznemu docelowemu hostowi, prowadząc do cichego przekierowania połączenia do innego authority bez wiedzy aplikacji.

Skutki

Atakujący może doprowadzić do ominięcia weryfikacji tożsamości serwera TLS i przekierowania szyfrowanego ruchu do niezamierzonego hosta, co umożliwia przechwycenie lub manipulację danymi przesyłanymi przez połączenie (atak typu man-in-the-middle). Skutkuje to naruszeniem poufności i integralności danych oraz możliwością przejęcia sesji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły aktualizacji dostępne są w oficjalnym biuletynie bezpieczeństwa Node.js z czerwca 2026: https://nodejs.org/en/blog/vulnerability/june-2026-security-releases

Kogo dotyczy

Node.js 22, Node.js 24 oraz Node.js 26 — wszystkie wspierane linie wydań Node.js.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Node.js

    APP
    Nodejs
    22.22.324.16.026.3.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-21636CRITICAL10.0PL ✓ten sam produkt

Node.js: obejście modelu uprawnień przez Unix Domain Socket

CVE-2025-55130CRITICAL9.1PL ✓ten sam produkt

Obejście modelu uprawnień w Node.js poprzez spreparowane symlinki

CVE-2024-3566CRITICAL9.8PL ✓ten sam produkt

Command injection w aplikacjach Windows korzystających z CreateProcess

CVE-2024-21896CRITICAL9.8PL ✓ten sam produkt

Path traversal w Permission Model Node.js przez monkey-patching Buffer

CVE-2023-39332CRITICAL9.8ten sam produkt

Various `node:fs` functions allow specifying paths as either strings or `Uint8Array` objects. In Node.js envir...

CVE-2026-48930 — Node.js TLS: błąd obsługi hostname z null-bajtem prowadzi do przekierowania authority — CRITICAL 9.8 | CVEbaza.pl