| Title | Node.js FoundationのNode.jsにおけるUnicode エンコーディングの処理に関する脆弱性 |
|---|---|
| Summary | Node.jsのTLSホスト名処理における欠陥により、Node.jsのユニコードドットセパレーターの処理が解決および検証時にホスト名の正規化が一致しない問題が発生し、それによってTLSワイルドカード認証の深度制限がバイパスされる可能性があります。これにより、影響を受ける設定の場合に機密性への影響や意図されたセキュリティ境界のバイパスが起こる可能性があります。この脆弱性は、すべてのサポートされているリリースライン、すなわち**Node.js 22**、**Node.js 24**、および**Node.js 26**に影響します。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 26, 2026, midnight |
| Registration Date | June 29, 2026, 11:15 a.m. |
| Last Update | June 29, 2026, 11:15 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Node.js Foundation |
| Node.js 22.22.3 |
| Node.js 24.16.0 |
| Node.js 26.3.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:15 a.m. |
| Summary | A flaw in Node.js TLS hostname handling can cause Node.js unicode dot separator handling can lead to tls wildcard-depth authentication bypass due to resolver and verifier hostname normalization mismat. This can lead to confidentiality impact or bypass of the intended security boundary under affected configurations. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**. |
|---|---|
| Publication Date | June 26, 2026, 11:16 a.m. |
| Registration Date | June 27, 2026, 4:32 a.m. |
| Last Update | June 27, 2026, 1:16 a.m. |