Node.js
Node.js gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Node.js kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
49 ReportsZeige 1 bis 49 von 49
-
Linux Kernel – Improper Authentication in cgroup_release_agent_write
CVE-2022-0492 Hoch Aktiv ausgenutztIm Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.
CVSS: 7.8 EPSS: 28.12% Publiziert: Referenz: CISA KEV -
System Information Library für Node.JS – Command Injection
CVE-2021-21315 Aktiv ausgenutztDie System Information Library für Node.JS weist eine Command-Injection-Schwachstelle auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.0 %.
EPSS: 93.96% Publiziert: Referenz: CISA KEV -
HP OpenView Network Node Manager – Remote Code Execution
CVE-2005-2773 Aktiv ausgenutztIn HP OpenView Network Node Manager wurde eine Schwachstelle zur Remote-Codeausführung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.8 %.
EPSS: 89.82% Publiziert: Referenz: CISA KEV -
zlib – Heap-Buffer-Over-Read in inflate (grosses gzip-Extra-Feld)
CVE-2022-37434 KritischIn der weit verbreiteten Kompressionsbibliothek zlib (bis einschliesslich Version 1.2.12) besteht in der Funktion inflate (inflate.c) ein heap-basiertes Buffer-Over-Read beziehungsweise ein Pufferüberlauf, der über ein grosses Extra-Feld im gzip-Header ausgelöst wird. Betroffen sind ausschliesslich Anwendungen, die inflateGetHeader aufrufen. Da zlib in zahlreiche Produkte eingebettet ist, führen mehrere Hersteller (unter anderem ABB, NetApp, Rockwell Automation, Node.js und Apple) eigene Advisories. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 16.0 %. Laut ABB PSIRT sind 2 Produkt(e) betroffen, 0 mit Fix. Empfohlene Massnahme: betroffene Komponenten gemäss den jeweiligen Hersteller-Advisories auf eine korrigierte zlib-Version aktualisieren.
CVSS: 9.8 EPSS: 16.00% Publiziert: Referenz: ABB PSIRT CSAF -
mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine
CVE-2026-33646 KritischDer Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.69% Publiziert: Referenz: NVD -
vm2 (Node.js-Sandbox) – Sandbox-Ausbruch über nicht blockierte Builtins
CVE-2026-47140 Kritischvm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 blockiert NodeVM zwar mehrere gefährliche Node.js-Builtins wie module, worker_threads, cluster, vm, repl und inspector, die Absicherung greift jedoch nicht vollständig. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.
CVSS: 10.0 EPSS: 0.54% Publiziert: Referenz: NVD -
vm2 (Node.js) – Sandbox-Ausbruch vor Version 3.11.4
CVE-2026-47208 Kritischvm2 ist eine quelloffene VM- bzw. Sandbox-Umgebung für Node.js. In Versionen vor 3.11.4 besteht eine Sandbox-Breakout-Schwachstelle: Angreifer können Code schreiben, der aus der vm2-Sandbox ausbricht. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – mit Scope-Wechsel, was für einen Sandbox-Ausbruch charakteristisch ist. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf vm2 3.11.4 oder neuer; Anwendungen, die nicht vertrauenswürdigen Code in vm2 ausführen, sind besonders exponiert.
CVSS: 10.0 EPSS: 0.51% Publiziert: Referenz: NVD -
vm2 (Node.js): Sandbox-Escape ermöglicht Codeausführung im Host-Prozess
CVE-2026-47210 Kritischvm2 ist eine quelloffene VM- bzw. Sandbox-Umgebung für Node.js. In Versionen vor 3.11.4 erlaubt eine Sandbox-Escape-Schwachstelle die Ausführung beliebigen Codes im Host-Prozess, wenn nicht vertrauenswürdiger Code ausgeführt wird. CVSS-Basiswert: 9.8 (Kritisch). Die Lücke ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: vm2 auf Version 3.11.4 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD -
Node.js: Authority-Rebinding durch Nul-Bytes in TLS-Hostnamen
CVE-2026-48930 KritischEin Fehler in der Verarbeitung von TLS-Hostnamen in Node.js führt dazu, dass Hostnamen mit eingebettetem Nul-Byte durch die C-String-Trunkierung in den Resolver-Bindings still auf eine andere Authority umgebogen werden können. Laut Quelle sind alle unterstützten Versionen betroffen. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.40% Publiziert: Referenz: NVD -
vm2 (Node.js) – Sandbox-Ausbruch über Prototype-Zugriff vor Version 3.11.4
CVE-2026-47131 Kritischvm2 ist eine quelloffene VM/Sandbox für Node.js. Vor Version 3.11.4 lässt sich durch die Kombination von Buffer.call.call() mit __lookupGetter__/__lookupSetter__ auf __proto__ zugreifen und die Sandbox-Isolation aushebeln. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – Ausnutzung über das Netz ohne Authentifizierung, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffen sind Node.js-Anwendungen, die vm2 zur Ausführung von nicht vertrauenswürdigem Code einsetzen.
CVSS: 10.0 EPSS: 0.40% Publiziert: Referenz: NVD -
sanitize-html / ApostropheCMS: Unzureichende HTML-Bereinigung in der Standardkonfiguration
CVE-2026-44990 KritischApostropheCMS ist ein quelloffenes Node.js-Content-Management-System; sanitize-html stellt einen HTML-Sanitizer bereit. In der Standardkonfiguration sind ältere Versionen von sanitize-html laut Quelle von einer Schwachstelle betroffen. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.3 EPSS: 0.40% Publiziert: Referenz: NVD -
vm2 (Node.js-Sandbox): Unvollständiger Fix für GHSA-8hg8-63c5-gwmx umgehbar
CVE-2026-47137 Kritischvm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 lässt sich die mit dem Fix für GHSA-8hg8-63c5-gwmx (CVE-2023-37903) in nodevm.js eingeführte Prüfung umgehen, die eine bestimmte Nesting-Kombination blockieren sollte. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.
CVSS: 10.0 EPSS: 0.38% Publiziert: Referenz: NVD -
Network-AI – Unauthentifizierte MCP-Tool-Aufrufe durch leeres Standard-Secret
CVE-2026-48814 KritischNetwork-AI, ein Multi-Agent-Orchestrator für TypeScript/Node.js, erlaubt in Version 5.7.1 und früher unauthentifizierte, quellübergreifende (cross-origin) Aufrufe von MCP-Tools. Ursache ist ein leeres Standard-Secret im MCP-SSE-Server. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.1 EPSS: 0.30% Publiziert: Referenz: NVD -
Ghost: unauthentifizierter Zugriff auf zwischengespeicherte Inhalte hinter geteiltem Cache
CVE-2026-53943 KritischGhost ist ein Content-Management-System auf Node.js-Basis. In Versionen vor 6.37.0 kann ein nicht authentifizierter Angreifer die Schwachstelle ausnutzen, wenn Ghost hinter einer gemeinsam genutzten Caching-Schicht betrieben wird, sodass zwischengespeicherte Inhalte zwischen verschiedenen Besuchern geteilt werden. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Ghost 6.37.0 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.24% Publiziert: Referenz: NVD -
ApostropheCMS (Node.js): Prototype Pollution über apos.util.set()
CVE-2026-53609 KritischApostropheCMS ist ein Open-Source-Content-Management-System auf Node.js-Basis. In Versionen bis einschliesslich 4.30.0 traversiert apos.util.set() Punkt-Notations-Pfade, ohne __proto__ zu bereinigen, was einem authentifizierten Angreifer Prototype Pollution erlaubt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.24% Publiziert: Referenz: NVD -
zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12
CVE-2018-25032 HochIn der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 52.06% Publiziert: Referenz: NVD -
Astro Web-Framework – SSRF in Server-Side Rendered Fehlerseiten
CVE-2026-25545 HochIm Astro Web-Framework sind vor Version 9.5.4 Server-Side Rendered Seiten, die bei einem Fehler eine vorgerenderte benutzerdefinierte Fehlerseite zurückgeben, anfällig für Server-Side Request Forgery (SSRF). CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 5.1 %.
CVSS: 8.6 EPSS: 5.14% Publiziert: Referenz: NVD -
Node.js WebCrypto: Absturz des Prozesses bei sehr grossen Eingaben in subtle.encrypt()
CVE-2026-48933 HochEin Fehler in der WebCrypto-Implementierung von Node.js kann den Prozess zum Absturz bringen, wenn die Eingabe von `subtle.encrypt()` ein Vielfaches von 2 GiB beträgt. Laut Quelle sind alle unterstützten Release-Linien betroffen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.8 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Node.js-Version aktualisieren.
CVSS: 7.5 EPSS: 2.81% Publiziert: Referenz: NVD -
Node.js: Speichererschöpfung im HTTP/2-Client durch ORIGIN-Frames
CVE-2026-48619 HochEin Fehler im HTTP/2-Client von Node.js erlaubt es einem Server, eine unbegrenzte Anzahl von ORIGIN-Frames zu senden, was auf dem Client zu einem Out-of-Memory-Fehler führen kann. Betroffen sind alle unterstützten Releases. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 7.5 EPSS: 0.66% Publiziert: Referenz: NVD -
Node.js: Offenlegung von Proxy-Zugangsdaten in ERR_PROXY_TUNNEL-Fehlermeldungen
CVE-2026-48615 HochEin Fehler in der Fehlerbehandlung des Proxy-Tunnels von Node.js kann Proxy-Zugangsdaten in ERR_PROXY_TUNNEL-Fehlermeldungen offenlegen; sind die Zugangsdaten in der Proxy-URL eingebettet, können sie darüber preisgegeben werden. Als betroffen ausgewiesen ist Node.js. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.44% Publiziert: Referenz: NVD -
Mysterium Node – Fehlerhafte Autorisierung im Konfigurations-Endpunkt
CVE-2026-31309 HochIm Endpunkt /tequilapi/config/user von Mysterium Node (ab Version 1.21.1-rc0 vor 1.36.0) erlaubt eine fehlerhafte Autorisierung einem nicht authentifizierten Angreifer, die Konfiguration des Node beliebig zu überschreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten auf Version 1.36.0 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.37% Publiziert: Referenz: NVD -
FlexRIC – Denial of Service durch ungültigen E2-Knoten in Subscription-Request
CVE-2026-37226 HochFlexRIC v2.0.0 stürzt ab, wenn die iApp eine E42_RIC_SUBSCRIPTION_REQUEST erhält, die auf einen nicht vorhandenen E2-Knoten verweist. Die Suchfunktion gibt NULL zurück, was in Debug-Builds durch assert() zu einem SIGABRT führt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD -
FlexRIC – Denial of Service durch doppelten E2_SETUP_REQUEST
CVE-2026-37224 HochFlexRIC v2.0.0 stürzt ab, wenn ein doppelter E2_SETUP_REQUEST vom selben oder einem gefälschten E2-Knoten empfangen wird. Die Einzigartigkeit der Knoten-ID wird über assert() erzwungen statt durch eine kontrollierte Ablehnung, was ein entfernter Angreifer ausnutzen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
nvm: Beliebige Befehlsausführung über manipulierte Mirror-Versionsstrings
CVE-2026-10796 Hochnvm (Node Version Manager) bis einschliesslich 0.40.4 führt beliebige Befehle aus, die über von der konfigurierten Node.js-/io.js-Mirror gelieferte Versionsstrings eingeschleust werden; Befehle wie `nvm install` lesen die verfügbaren Versionen von der Mirror. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Drupal Unpublished Node Permissions: Incorrect Authorization (Forceful Browsing)
CVE-2026-4933 HochDas Drupal-Modul „Unpublished Node Permissions” weist in Versionen ab 0.0.0 bis vor 1.7.0 eine fehlerhafte Autorisierungsprüfung auf, die Forceful Browsing ermöglicht. Angreifer können so auf unveröffentlichte Inhalte zugreifen, für die sie keine Berechtigung haben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
parse-nested-form-data: Prototype-Pollution-Schwachstelle
CVE-2026-45302 HochDas Node.js-Modul parse-nested-form-data enthält vor Version 1.0.1 eine Schwachstelle in der Funktion parseFormData(): Beim Verarbeiten von FormData-Feldnamen in Klammer- und Punkt-Notation können Objekte unkontrolliert verschachtelt werden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
Backstage – Konfigurationsumgehung ermöglicht Remote Code Execution
CVE-2026-29186 HochIm Backstage-Framework für Entwicklerportale ermöglicht eine Konfigurationsumgehungs-Schwachstelle vor Version 1.14.3 die Ausführung von beliebigem Code. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.7 EPSS: 0.04% Publiziert: Referenz: NVD -
Compressing (Node.js) – unzureichende Path-Traversal-Validierung (Bypass von CVE-2026-24884)
CVE-2026-40931 HochIn der Node.js-Bibliothek Compressing vor Version 2.1.1 bzw. 1.10.5 basiert der Patch für CVE-2026-24884 auf einer rein logischen Zeichenkettenvalidierung in der Hilfsfunktion isPathWithinParent, die umgangen werden kann. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.4 EPSS: 0.02% Publiziert: Referenz: NVD -
@hono/node-server – Umgehung von Middleware-Schutz bei statischen Dateien
CVE-2026-29087 HochIn @hono/node-server werden vor Version 1.19.10 beim gleichzeitigen Einsatz der statischen Dateiauslieferung und routenbasierter Middleware-Schutzregeln diese Schutzregeln umgangen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Compressing (Node.js) – Path-Traversal über symbolische Links bei TAR-Extraktion
CVE-2026-24884 HochDie Node.js-Kompressionsbibliothek Compressing stellt in Version 2.0.0 sowie 1.10.3 und früher beim Entpacken von TAR-Archiven symbolische Links wieder her, ohne deren Ziele zu validieren. Dies ermöglicht Path-Traversal-Angriffe. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.4 EPSS: 0.01% Publiziert: Referenz: NVD -
OpenSSH sshd: Rechteausweitung durch nicht initialisierte Supplemental Groups
CVE-2021-41617 Hochsshd in OpenSSH 6.2 bis vor 8.8 erlaubt bei bestimmten nicht standardmässigen Konfigurationen eine Rechteausweitung, weil supplemental groups nicht wie erwartet initialisiert werden. Betroffen sind Hilfsprogramme, die von sshd ausgeführt werden. CVSS-Basiswert: 7.0 (Hoch). Empfohlene Massnahme: Aktualisierung auf OpenSSH 8.8 oder neuer.
CVSS: 7.0 Publiziert: Referenz: NVD -
Node.js – Denial of Service durch Änderung im zlib-Modul (vor 4.8.5/6.11.5/8.8.0)
CVE-2017-14919 HochNode.js vor 4.8.5, 6.x vor 6.11.5 und 8.x vor 8.8.0 erlaubt entfernten Angreifern, einen Denial of Service (nicht abgefangene Ausnahme und Absturz) auszulösen, indem sie eine Änderung im zlib-Modul 1.2.9 ausnutzen. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf eine korrigierte Node.js-Version (4.8.5, 6.11.5 bzw. 8.8.0 oder neuer) aktualisieren.
CVSS: 7.5 Publiziert: Referenz: NVD -
zlib: Fehlerhafte Zeigerarithmetik in inftrees.c
CVE-2016-9840 Hochzlib ist eine weit verbreitete Kompressionsbibliothek. In Version 1.2.8 kann die Datei inftrees.c kontextabhängigen Angreifern durch fehlerhafte (unzulässige) Zeigerarithmetik eine nicht näher spezifizierte Auswirkung ermöglichen. Da zlib in zahlreichen Betriebssystemen und Anwendungen eingebettet ist, geben entsprechend viele Distributionen und Hersteller eigene Sicherheitshinweise heraus. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: Aktualisierungen der jeweiligen Distribution bzw. des Herstellers einspielen.
CVSS: 8.8 Publiziert: Referenz: NVD -
CVE-2016-9842 – Undefiniertes Verhalten in zlib (inflateMark in inflate.c)
CVE-2016-9842 HochDie Funktion inflateMark in inflate.c der Kompressionsbibliothek zlib 1.2.8 kann von kontextabhängigen Angreifern über Vektoren ausgenutzt werden, die Linksverschiebungen negativer Ganzzahlen beinhalten, und dabei nicht näher spezifizierte Auswirkungen haben. Da zlib in viele Betriebssysteme und Anwendungen eingebettet ist, sind zahlreiche Hersteller betroffen. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: die von den jeweiligen Herstellern bereitgestellten Aktualisierungen für die betroffenen Produkte einspielen.
CVSS: 8.8 Publiziert: Referenz: NVD -
Linux-Kernel: Use-After-Free in proc_readdir_de()
CVE-2025-40271 MittelIm Linux-Kernel wurde ein Use-After-Free-Fehler in der Funktion proc_readdir_de() behoben. Ein Prozessdeskriptor wurde aus dem rbtree entfernt, ohne den Knoten auf EMPTY zu setzen, was unter bestimmten Umständen zu einer Nutzung bereits freigegebenen Speichers führen konnte. Ausnutzungswahrscheinlichkeit (EPSS): 4.7 %.
EPSS: 4.66% Publiziert: Referenz: NVD -
Node.js – TLS-Wildcard-Authentifizierungsumgehung durch Hostname-Normalisierung
CVE-2026-48618 MittelEin Fehler in der TLS-Hostname-Verarbeitung von Node.js führt dazu, dass Unicode-Punkt-Trennzeichen unterschiedlich normalisiert werden. Durch die Abweichung zwischen Resolver und Verifier bei der Hostname-Normalisierung kann eine Authentifizierungsumgehung bei Wildcard-Zertifikaten entstehen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 6.5 EPSS: 0.67% Publiziert: Referenz: NVD -
LightLLM: Nicht authentifizierte Remote-Codeausführung im PD-Disaggregation-Modus
CVE-2026-26220 MittelLightLLM in Version 1.1.0 und älter enthält eine nicht authentifizierte Remote-Codeausführung im PD-Modus (Prefill-Decode-Disaggregation). Der PD-Master-Knoten stellt WebSocket-Endpunkte bereit, die entsprechende Daten entgegennehmen. Für diese Schwachstelle liegt in den Quelldaten kein CVSS-Basiswert vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Es liegen keine Hinweise auf aktive Ausnutzung (CISA KEV) oder einen Einsatz in Ransomware-Kampagnen vor.
EPSS: 0.66% Publiziert: Referenz: NVD -
Node.js: Umgehung der Zertifikatsvalidierung durch fehlerhafte TLS-Hostprüfung
CVE-2026-48934 MittelEin Fehler in der TLS-Hostnamenüberprüfung von Node.js erlaubt einem Angreifer, die Zertifikatsvalidierung zu umgehen. Betroffen sind laut Quelle alle unterstützten Release-Linien (u. a. Node.js 22 und Node.js 24). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Node.js-Version aktualisieren.
CVSS: 4.3 EPSS: 0.26% Publiziert: Referenz: NVD -
CVE-2026-59817 – Ghost: manipulierbare Spenden-Checkout-Metadaten
CVE-2026-59817 MittelGhost ist ein auf Node.js basierendes Content-Management-System. In den Versionen ab 6.27.0 und vor 6.44.0 erlaubte der öffentliche Spenden-Checkout-Prozess einem nicht authentifizierten Angreifer, die Metadaten des Spenden-Checkouts zu kontrollieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.3 EPSS: 0.26% Publiziert: Referenz: NVD -
Node.js: Trust-Policy-Umgehung durch inkonsistenten Hostnamen-Abgleich in mTLS
CVE-2026-48928 MittelEine Inkonsistenz beim Hostnamen-Abgleich in Node.js kann in mTLS-Setups mit mehreren Kontexten zu einer Umgehung der Trust-Policy führen. Betroffen sind laut Quelle alle unterstützten Release-Linien, darunter Node.js 22 und Node.js 24. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Node.js-Version aktualisieren.
CVSS: 5.4 EPSS: 0.26% Publiziert: Referenz: NVD -
launch-editor für Node.js – unzureichende Eingabevalidierung
CVE-2024-52011 MittelIn der Node.js-Bibliothek launch-editor wird vor Version 2.9.0 das Argument „file” im Aufruf von launchEditor unzureichend bereinigt, wodurch ein Angreifer eine Schwachstelle ausnutzen kann. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
EPSS: 0.06% Publiziert: Referenz: NVD -
OAuth2-Server PKCE-Validierungslücke (oauth2-server)
CVE-2026-41213 MittelIm Node.js-Modul @node-oauth/oauth2-server wurde eine Schwachstelle im Token-Austausch-Pfad entdeckt: Der Server akzeptiert ungültige RFC7636-code_verifier-Werte für S256 PKCE, darunter einzeichige Zeichenketten. Dies kann die Sicherheit des PKCE-Mechanismus unterlaufen. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 5.9 EPSS: 0.06% Publiziert: Referenz: NVD -
HAX CMS: Kryptografische Schwächen in der Funktion hmacBase64()
CVE-2026-46395 MittelHAX CMS verwaltet Microsite-Umgebungen mit PHP- oder Node.js-Backend. In Versionen vor 26.0.0 enthält die Funktion hmacBase64() im HAXcms-Node.js-Backend zwei kritische kryptografische Implementierungsfehler. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf HAX CMS Version 26.0.0 oder neuer aktualisieren.
EPSS: 0.04% Publiziert: Referenz: NVD -
Linux Kernel: Speicherleck in pNFS FlexFiles (nfs4_ff_alloc_deviceid_node)
CVE-2026-23038 MittelIm Linux-Kernel wurde ein Speicherleck in der Funktion nfs4_ff_alloc_deviceid_node() des pNFS-FlexFiles-Treibers behoben. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die Distributions-Updates (z. B. Ubuntu USN-8393-1) einspielen.
EPSS: 0.02% Publiziert: Referenz: NVD -
Linux Kernel: Double-Free in Rockchip USB2 PHY-Treiber
CVE-2026-23030 MittelIm Linux-Kernel wurde ein Double-Free-Fehler in der Funktion rockchip_usb2phy_probe() des Rockchip-USB2-PHY-Treibers behoben. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
EPSS: 0.02% Publiziert: Referenz: NVD -
Linux-Kernel: Potenzielles Use-after-free in otx2_tc_add_flow() (octeontx2-pf)
CVE-2025-39978 MittelIm Linux-Kernel wurde im octeontx2-pf-Treiber ein potenzielles Use-after-free in otx2_tc_add_flow() behoben. Der Code rief kfree_rcu(new_node, rcu) auf und dereferenzierte den Knoten anschliessend weiter. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: die von den betroffenen Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.
Publiziert: Referenz: NVD -
Node.js: HTTP-Agent akzeptiert verfrühte Server-Antwort
CVE-2026-48931 NiedrigEin Fehler im HTTP-Agent von Node.js kann dazu führen, dass ein Client eine Antwort als gültig akzeptiert, die gesendet wurde, bevor der Client die Anfrage abgeschickt hat. Laut Quelle sind alle unterstützten Release-Linien betroffen. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Node.js-Version aktualisieren.
CVSS: 3.7 EPSS: 0.37% Publiziert: Referenz: NVD -
Node.js: Umgehung der Permission API über Unix-Domain-Socket
CVE-2026-48936 NiedrigEin Fehler in der Permission API von Node.js kann dazu führen, dass ein lokaler Server über einen Unix-Domain-Socket gestartet wird, selbst ohne die Berechtigung --allow-net. Die Schwachstelle betrifft eine unterstützte Release-Linie. CVSS-Basiswert: 3.3 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Sicherheitsupdate von Node.js nach Verfügbarkeit einspielen.
CVSS: 3.3 EPSS: 0.15% Publiziert: Referenz: NVD -
Node.js: Änderung von Datei-Metadaten trotz schreibgeschütztem Pfad (Permission API)
CVE-2026-48935 NiedrigEin Fehler in der Permission-API von Node.js erlaubt die Änderung von Datei-Metadaten selbst auf einem als schreibgeschützt markierten Pfad (z. B. mit --allow-fs-read). Betroffen sind laut Quelle alle unterstützten Release-Linien. CVSS-Basiswert: 3.3 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Node.js-Version aktualisieren.
CVSS: 3.3 EPSS: 0.15% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Node.js, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.