ニュース

「Node.js」にセキュリティリリース ~全9件の脆弱性を修正

2026年3月26日 06:45

「Node.js」のセキュリティアップデート

 「Node.js」のセキュリティアップデートが、3月24日(米国時間)に実施された。今回リリースされたバージョンは、以下の通り。できるだけ早い更新が望ましい。

 修正された脆弱性は、全9件。深刻度の内訳は「High」が2件、「Medium」が5件、「Low」が2件となっている。

  • CVE-2026-21637:Incomplete fix for CVE-2026-21637: loadSNI() in _tls_wrap.js lacks try/catch leading to Remote DoS(High)
  • CVE-2026-21710:Denial of Service via __proto__ header name in req.headersDistinct (Uncaught TypeError crashes Node.js process)(High)
  • CVE-2026-21711:Node.js Permission Model bypass: UDS server bind/listen works without --allow-net(Medium)
  • CVE-2026-21712:Assertion error in node_url.cc via malformed URL format leads to Node.js crash(Medium)
  • CVE-2026-21713:Timing side-channel in HMAC verification via memcmp() in crypto_hmac.cc leads to potential MAC forgery(Medium)
  • CVE-2026-21714:Memory leak in Node.js HTTP/2 server via WINDOW_UPDATE on stream 0 leads to resource exhaustion(Medium)
  • CVE-2026-21717:HashDoS in V8(Medium)
  • CVE-2026-21715:Permission Model Bypass in realpathSync.native Allows File Existence Disclosure(Low)
  • CVE-2026-21716:CVE-2024-36137 Patch Bypass - FileHandle.chmod/chown(Low)
Amazonで購入