製品・ソフトウェアに関する情報
Vulnerability Search
Node.js FoundationのNode.jsにおけるアクセス制御に関する脆弱性
Title Node.js FoundationのNode.jsにおけるアクセス制御に関する脆弱性
Summary

Node.jsのTLSホスト名処理に欠陥があり、埋め込みヌルホスト名がリゾルババインディングにおけるC文字列の切り捨てを引き起こすため、サイレントな権限の再バインドが発生する可能性があります。この脆弱性は、サポートされているすべてのリリースライン、すなわち**Node.js 22**、**Node.js 24**、および**Node.js 26**に影響を及ぼします。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 26, 2026, midnight
Registration Date June 29, 2026, 11:15 a.m.
Last Update June 29, 2026, 11:15 a.m.
CVSS3.0 : 緊急
Score 9.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Affected System
Node.js Foundation
Node.js 22.22.3
Node.js 24.16.0
Node.js 26.3.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月29日]
  掲載		 June 29, 2026, 11:15 a.m.
NVD Vulnerability Information
CVE-2026-48930
Summary

A flaw in Node.js TLS hostname handling can cause Embedded-nul hostnames can lead to silent authority rebinding due to c-string truncation in resolver bindings.

This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.

Publication Date June 26, 2026, 11:16 a.m.
Registration Date June 27, 2026, 4:32 a.m.
Last Update June 27, 2026, 1:11 a.m.
Related information, measures and tools
Common Vulnerabilities List