Tất cả tin tức
Backend, API & Architecture·24 ngày trước

Node.js phát hành bản vá bảo mật: 12 CVE, 2 lỗi mức HIGH

Node.jsTóm tắt bởi trợ lý AI ORA·tech
Node.js phát hành bản vá bảo mật: 12 CVE, 2 lỗi mức HIGH

Ngày 18/6/2026, Node.js vá đồng loạt cả ba nhánh 22, 24, 26 với 12 CVE — hai lỗi HIGH gồm crash WebCrypto (DoS) và bypass xác thực TLS wildcard. Kèm cập nhật openssl, llhttp, nghttp2, undici; nên nâng cấp ngay.

Ngày 18/6/2026, dự án Node.js phát hành bản vá bảo mật cho cả ba nhánh được hỗ trợ — 22.23.0, 24.17.0 và 26.3.1 — xử lý 12 CVE, mức cao nhất là HIGH trên mọi nhánh.

Ý chính

  • CVE-2026-48933 (HIGH): lỗi tràn số nguyên trong WebCrypto AES có thể làm sập tiến trình nếu đầu vào subtle.encrypt() là bội số của 2GiB (DoS).
  • CVE-2026-48618 (HIGH): chuẩn hóa hostname không nhất quán giữa resolver và verifier dẫn tới bypass xác thực TLS theo độ sâu wildcard.
  • Nhiều CVE TLS/HTTP-2 mức medium/low: gồm rò rỉ credential proxy (CVE-2026-48615), bypass mTLS do so khớp hostname phân biệt hoa-thường (CVE-2026-48928), và vài lỗi bypass Permission Model.
  • Cập nhật phụ thuộc: llhttp 9.4.2, nghttp2 1.69.0, openssl 3.5.7 trên mọi nhánh; undici 8.5.0/7.28.0/6.27.0 tương ứng.
  • Khuyến nghị: nâng cấp ngay; các phiên bản End-of-Life luôn bị ảnh hưởng khi có security release.
Nguồn gốc
Node.js
Đọc bài gốc
#Node.js#security#CVE#TLS#WebCrypto
Bản tóm tắt được biên soạn bởi trợ lý AI của ORA·tech. Đọc bài gốc để có đầy đủ ngữ cảnh.

Bài liên quan

Chào bạn, mình là Nova. Có phần nào bạn muốn hiểu kỹ hơn không? Cứ nói với mình nhé.