Node.js phát hành bản vá bảo mật: 12 CVE, 2 lỗi mức HIGH
Ngày 18/6/2026, Node.js vá đồng loạt cả ba nhánh 22, 24, 26 với 12 CVE — hai lỗi HIGH gồm crash WebCrypto (DoS) và bypass xác thực TLS wildcard. Kèm cập nhật openssl, llhttp, nghttp2, undici; nên nâng cấp ngay.
Ngày 18/6/2026, dự án Node.js phát hành bản vá bảo mật cho cả ba nhánh được hỗ trợ — 22.23.0, 24.17.0 và 26.3.1 — xử lý 12 CVE, mức cao nhất là HIGH trên mọi nhánh.
Ý chính
- CVE-2026-48933 (HIGH): lỗi tràn số nguyên trong WebCrypto AES có thể làm sập tiến trình nếu đầu vào
subtle.encrypt()là bội số của 2GiB (DoS). - CVE-2026-48618 (HIGH): chuẩn hóa hostname không nhất quán giữa resolver và verifier dẫn tới bypass xác thực TLS theo độ sâu wildcard.
- Nhiều CVE TLS/HTTP-2 mức medium/low: gồm rò rỉ credential proxy (CVE-2026-48615), bypass mTLS do so khớp hostname phân biệt hoa-thường (CVE-2026-48928), và vài lỗi bypass Permission Model.
- Cập nhật phụ thuộc: llhttp 9.4.2, nghttp2 1.69.0, openssl 3.5.7 trên mọi nhánh; undici 8.5.0/7.28.0/6.27.0 tương ứng.
- Khuyến nghị: nâng cấp ngay; các phiên bản End-of-Life luôn bị ảnh hưởng khi có security release.
Nguồn gốc
Node.js
#Node.js#security#CVE#TLS#WebCrypto
Bản tóm tắt được biên soạn bởi trợ lý AI của ORA·tech. Đọc bài gốc để có đầy đủ ngữ cảnh.
Bài liên quan
Backend, API & Architecture
GitHub Issue Fields chính thức GA cho mọi tổ chức
Backend, API & Architecture
Cloudflare mở Monetization Gateway: thu phí API qua x402
Backend, API & Architecture
