ニュース
「Node.js」にセキュリティリリース、12件の脆弱性を修正
v22.23.0、v24.17.0、v26.3.1が公開
2026年6月19日 14:05
「Node.js」のセキュリティアップデートが、6月18日(米国時間)に実施された。今回リリースされたバージョンは、以下の通り。できるだけ早い更新が望ましい。
修正された脆弱性は、全12件。深刻度の内訳は「High」が2件、「Medium」が6件、「Low」が4件となっている。
- CVE-2026-48933:Node.js WebCrypto AES Integer Overflow Leads to Remote Process Abort (DoS)(High)
- CVE-2026-48618:Node.js unicode dot separator handling can lead to TLS wildcard-depth authentication bypass(High)
- CVE-2026-48615:Proxy credentials leaked in ERR_PROXY_TUNNEL error message(Medium)
- CVE-2026-48619:Unbounded memory growth in node:http2 clients via attacker-controlled ORIGIN frames(Medium)
- CVE-2026-48937:HTTP/2 sessions never clean up after GOAWAY on invalid protocol errors(Medium)
- CVE-2026-48928:Uppercase SNI context matching can lead to mTLS authorization bypass(Medium)
- CVE-2026-48930:Embedded-nul hostnames can lead to silent authority rebinding(Medium)
- CVE-2026-48934:TLS host identity verification bypass via session reuse with different servername(Medium)
- CVE-2026-48617:Permission Model Bypass via process.report.writeReport() Path Misvalidation(Low)
- CVE-2026-48935:Permission Model bypass via FileHandle.utimes() in the promises API(Low)
- CVE-2026-48936:Unix domain socket server bypasses --permission network restrictions (incomplete CVE-2026-21636 fix)(Low)
- CVE-2026-48931:HTTP Response Queue Poisoning via TOCTOU Race Condition in http.Agent(Low)
また、バンドルされている「OpenSSL」(3.5.7)や「undici」などの依存ライブラリも更新されている。
Amazonで購入
