1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Node.js

Server-Software, Middleware, Web

Node.js gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Node.js kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

49
Reports
3
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.0%
Max. EPSS

Schwachstellen-Reports

49 Reports

Zeige 1 bis 49 von 49

  1. Linux Kernel – Improper Authentication in cgroup_release_agent_write

    CVE-2022-0492 Hoch Aktiv ausgenutzt

    Im Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.

    CVSS: 7.8 EPSS: 28.12% Publiziert: Referenz: CISA KEV
  2. System Information Library für Node.JS – Command Injection

    CVE-2021-21315 Aktiv ausgenutzt

    Die System Information Library für Node.JS weist eine Command-Injection-Schwachstelle auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.0 %.

    EPSS: 93.96% Publiziert: Referenz: CISA KEV
  3. HP OpenView Network Node Manager – Remote Code Execution

    CVE-2005-2773 Aktiv ausgenutzt

    In HP OpenView Network Node Manager wurde eine Schwachstelle zur Remote-Codeausführung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.8 %.

    EPSS: 89.82% Publiziert: Referenz: CISA KEV
  4. zlib – Heap-Buffer-Over-Read in inflate (grosses gzip-Extra-Feld)

    CVE-2022-37434 Kritisch

    In der weit verbreiteten Kompressionsbibliothek zlib (bis einschliesslich Version 1.2.12) besteht in der Funktion inflate (inflate.c) ein heap-basiertes Buffer-Over-Read beziehungsweise ein Pufferüberlauf, der über ein grosses Extra-Feld im gzip-Header ausgelöst wird. Betroffen sind ausschliesslich Anwendungen, die inflateGetHeader aufrufen. Da zlib in zahlreiche Produkte eingebettet ist, führen mehrere Hersteller (unter anderem ABB, NetApp, Rockwell Automation, Node.js und Apple) eigene Advisories. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 16.0 %. Laut ABB PSIRT sind 2 Produkt(e) betroffen, 0 mit Fix. Empfohlene Massnahme: betroffene Komponenten gemäss den jeweiligen Hersteller-Advisories auf eine korrigierte zlib-Version aktualisieren.

    CVSS: 9.8 EPSS: 16.00% Publiziert: Referenz: ABB PSIRT CSAF
  5. mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine

    CVE-2026-33646 Kritisch

    Der Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.

    CVSS: 9.6 EPSS: 0.69% Publiziert: Referenz: NVD
  6. vm2 (Node.js-Sandbox) – Sandbox-Ausbruch über nicht blockierte Builtins

    CVE-2026-47140 Kritisch

    vm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 blockiert NodeVM zwar mehrere gefährliche Node.js-Builtins wie module, worker_threads, cluster, vm, repl und inspector, die Absicherung greift jedoch nicht vollständig. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.

    CVSS: 10.0 EPSS: 0.54% Publiziert: Referenz: NVD
  7. vm2 (Node.js) – Sandbox-Ausbruch vor Version 3.11.4

    CVE-2026-47208 Kritisch

    vm2 ist eine quelloffene VM- bzw. Sandbox-Umgebung für Node.js. In Versionen vor 3.11.4 besteht eine Sandbox-Breakout-Schwachstelle: Angreifer können Code schreiben, der aus der vm2-Sandbox ausbricht. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – mit Scope-Wechsel, was für einen Sandbox-Ausbruch charakteristisch ist. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf vm2 3.11.4 oder neuer; Anwendungen, die nicht vertrauenswürdigen Code in vm2 ausführen, sind besonders exponiert.

    CVSS: 10.0 EPSS: 0.51% Publiziert: Referenz: NVD
  8. vm2 (Node.js): Sandbox-Escape ermöglicht Codeausführung im Host-Prozess

    CVE-2026-47210 Kritisch

    vm2 ist eine quelloffene VM- bzw. Sandbox-Umgebung für Node.js. In Versionen vor 3.11.4 erlaubt eine Sandbox-Escape-Schwachstelle die Ausführung beliebigen Codes im Host-Prozess, wenn nicht vertrauenswürdiger Code ausgeführt wird. CVSS-Basiswert: 9.8 (Kritisch). Die Lücke ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: vm2 auf Version 3.11.4 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD
  9. Node.js: Authority-Rebinding durch Nul-Bytes in TLS-Hostnamen

    CVE-2026-48930 Kritisch

    Ein Fehler in der Verarbeitung von TLS-Hostnamen in Node.js führt dazu, dass Hostnamen mit eingebettetem Nul-Byte durch die C-String-Trunkierung in den Resolver-Bindings still auf eine andere Authority umgebogen werden können. Laut Quelle sind alle unterstützten Versionen betroffen. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.40% Publiziert: Referenz: NVD
  10. vm2 (Node.js) – Sandbox-Ausbruch über Prototype-Zugriff vor Version 3.11.4

    CVE-2026-47131 Kritisch

    vm2 ist eine quelloffene VM/Sandbox für Node.js. Vor Version 3.11.4 lässt sich durch die Kombination von Buffer.call.call() mit __lookupGetter__/__lookupSetter__ auf __proto__ zugreifen und die Sandbox-Isolation aushebeln. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – Ausnutzung über das Netz ohne Authentifizierung, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffen sind Node.js-Anwendungen, die vm2 zur Ausführung von nicht vertrauenswürdigem Code einsetzen.

    CVSS: 10.0 EPSS: 0.40% Publiziert: Referenz: NVD
  11. sanitize-html / ApostropheCMS: Unzureichende HTML-Bereinigung in der Standardkonfiguration

    CVE-2026-44990 Kritisch

    ApostropheCMS ist ein quelloffenes Node.js-Content-Management-System; sanitize-html stellt einen HTML-Sanitizer bereit. In der Standardkonfiguration sind ältere Versionen von sanitize-html laut Quelle von einer Schwachstelle betroffen. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.3 EPSS: 0.40% Publiziert: Referenz: NVD
  12. vm2 (Node.js-Sandbox): Unvollständiger Fix für GHSA-8hg8-63c5-gwmx umgehbar

    CVE-2026-47137 Kritisch

    vm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 lässt sich die mit dem Fix für GHSA-8hg8-63c5-gwmx (CVE-2023-37903) in nodevm.js eingeführte Prüfung umgehen, die eine bestimmte Nesting-Kombination blockieren sollte. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.

    CVSS: 10.0 EPSS: 0.38% Publiziert: Referenz: NVD
  13. Network-AI – Unauthentifizierte MCP-Tool-Aufrufe durch leeres Standard-Secret

    CVE-2026-48814 Kritisch

    Network-AI, ein Multi-Agent-Orchestrator für TypeScript/Node.js, erlaubt in Version 5.7.1 und früher unauthentifizierte, quellübergreifende (cross-origin) Aufrufe von MCP-Tools. Ursache ist ein leeres Standard-Secret im MCP-SSE-Server. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.1 EPSS: 0.30% Publiziert: Referenz: NVD
  14. Ghost: unauthentifizierter Zugriff auf zwischengespeicherte Inhalte hinter geteiltem Cache

    CVE-2026-53943 Kritisch

    Ghost ist ein Content-Management-System auf Node.js-Basis. In Versionen vor 6.37.0 kann ein nicht authentifizierter Angreifer die Schwachstelle ausnutzen, wenn Ghost hinter einer gemeinsam genutzten Caching-Schicht betrieben wird, sodass zwischengespeicherte Inhalte zwischen verschiedenen Besuchern geteilt werden. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Ghost 6.37.0 oder neuer aktualisieren.

    CVSS: 9.6 EPSS: 0.24% Publiziert: Referenz: NVD
  15. ApostropheCMS (Node.js): Prototype Pollution über apos.util.set()

    CVE-2026-53609 Kritisch

    ApostropheCMS ist ein Open-Source-Content-Management-System auf Node.js-Basis. In Versionen bis einschliesslich 4.30.0 traversiert apos.util.set() Punkt-Notations-Pfade, ohne __proto__ zu bereinigen, was einem authentifizierten Angreifer Prototype Pollution erlaubt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.1 EPSS: 0.24% Publiziert: Referenz: NVD
  16. zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12

    CVE-2018-25032 Hoch

    In der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 52.06% Publiziert: Referenz: NVD
  17. Astro Web-Framework – SSRF in Server-Side Rendered Fehlerseiten

    CVE-2026-25545 Hoch

    Im Astro Web-Framework sind vor Version 9.5.4 Server-Side Rendered Seiten, die bei einem Fehler eine vorgerenderte benutzerdefinierte Fehlerseite zurückgeben, anfällig für Server-Side Request Forgery (SSRF). CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 5.1 %.

    CVSS: 8.6 EPSS: 5.14% Publiziert: Referenz: NVD
  18. Node.js WebCrypto: Absturz des Prozesses bei sehr grossen Eingaben in subtle.encrypt()

    CVE-2026-48933 Hoch

    Ein Fehler in der WebCrypto-Implementierung von Node.js kann den Prozess zum Absturz bringen, wenn die Eingabe von `subtle.encrypt()` ein Vielfaches von 2 GiB beträgt. Laut Quelle sind alle unterstützten Release-Linien betroffen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.8 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Node.js-Version aktualisieren.

    CVSS: 7.5 EPSS: 2.81% Publiziert: Referenz: NVD
  19. Node.js: Speichererschöpfung im HTTP/2-Client durch ORIGIN-Frames

    CVE-2026-48619 Hoch

    Ein Fehler im HTTP/2-Client von Node.js erlaubt es einem Server, eine unbegrenzte Anzahl von ORIGIN-Frames zu senden, was auf dem Client zu einem Out-of-Memory-Fehler führen kann. Betroffen sind alle unterstützten Releases. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 7.5 EPSS: 0.66% Publiziert: Referenz: NVD
  20. Node.js: Offenlegung von Proxy-Zugangsdaten in ERR_PROXY_TUNNEL-Fehlermeldungen

    CVE-2026-48615 Hoch

    Ein Fehler in der Fehlerbehandlung des Proxy-Tunnels von Node.js kann Proxy-Zugangsdaten in ERR_PROXY_TUNNEL-Fehlermeldungen offenlegen; sind die Zugangsdaten in der Proxy-URL eingebettet, können sie darüber preisgegeben werden. Als betroffen ausgewiesen ist Node.js. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.44% Publiziert: Referenz: NVD
  21. Mysterium Node – Fehlerhafte Autorisierung im Konfigurations-Endpunkt

    CVE-2026-31309 Hoch

    Im Endpunkt /tequilapi/config/user von Mysterium Node (ab Version 1.21.1-rc0 vor 1.36.0) erlaubt eine fehlerhafte Autorisierung einem nicht authentifizierten Angreifer, die Konfiguration des Node beliebig zu überschreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten auf Version 1.36.0 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.37% Publiziert: Referenz: NVD
  22. FlexRIC – Denial of Service durch ungültigen E2-Knoten in Subscription-Request

    CVE-2026-37226 Hoch

    FlexRIC v2.0.0 stürzt ab, wenn die iApp eine E42_RIC_SUBSCRIPTION_REQUEST erhält, die auf einen nicht vorhandenen E2-Knoten verweist. Die Suchfunktion gibt NULL zurück, was in Debug-Builds durch assert() zu einem SIGABRT führt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD
  23. FlexRIC – Denial of Service durch doppelten E2_SETUP_REQUEST

    CVE-2026-37224 Hoch

    FlexRIC v2.0.0 stürzt ab, wenn ein doppelter E2_SETUP_REQUEST vom selben oder einem gefälschten E2-Knoten empfangen wird. Die Einzigartigkeit der Knoten-ID wird über assert() erzwungen statt durch eine kontrollierte Ablehnung, was ein entfernter Angreifer ausnutzen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  24. nvm: Beliebige Befehlsausführung über manipulierte Mirror-Versionsstrings

    CVE-2026-10796 Hoch

    nvm (Node Version Manager) bis einschliesslich 0.40.4 führt beliebige Befehle aus, die über von der konfigurierten Node.js-/io.js-Mirror gelieferte Versionsstrings eingeschleust werden; Befehle wie `nvm install` lesen die verfügbaren Versionen von der Mirror. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  25. Drupal Unpublished Node Permissions: Incorrect Authorization (Forceful Browsing)

    CVE-2026-4933 Hoch

    Das Drupal-Modul „Unpublished Node Permissions” weist in Versionen ab 0.0.0 bis vor 1.7.0 eine fehlerhafte Autorisierungsprüfung auf, die Forceful Browsing ermöglicht. Angreifer können so auf unveröffentlichte Inhalte zugreifen, für die sie keine Berechtigung haben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  26. parse-nested-form-data: Prototype-Pollution-Schwachstelle

    CVE-2026-45302 Hoch

    Das Node.js-Modul parse-nested-form-data enthält vor Version 1.0.1 eine Schwachstelle in der Funktion parseFormData(): Beim Verarbeiten von FormData-Feldnamen in Klammer- und Punkt-Notation können Objekte unkontrolliert verschachtelt werden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD
  27. Backstage – Konfigurationsumgehung ermöglicht Remote Code Execution

    CVE-2026-29186 Hoch

    Im Backstage-Framework für Entwicklerportale ermöglicht eine Konfigurationsumgehungs-Schwachstelle vor Version 1.14.3 die Ausführung von beliebigem Code. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.7 EPSS: 0.04% Publiziert: Referenz: NVD
  28. Compressing (Node.js) – unzureichende Path-Traversal-Validierung (Bypass von CVE-2026-24884)

    CVE-2026-40931 Hoch

    In der Node.js-Bibliothek Compressing vor Version 2.1.1 bzw. 1.10.5 basiert der Patch für CVE-2026-24884 auf einer rein logischen Zeichenkettenvalidierung in der Hilfsfunktion isPathWithinParent, die umgangen werden kann. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.4 EPSS: 0.02% Publiziert: Referenz: NVD
  29. @hono/node-server – Umgehung von Middleware-Schutz bei statischen Dateien

    CVE-2026-29087 Hoch

    In @hono/node-server werden vor Version 1.19.10 beim gleichzeitigen Einsatz der statischen Dateiauslieferung und routenbasierter Middleware-Schutzregeln diese Schutzregeln umgangen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  30. Compressing (Node.js) – Path-Traversal über symbolische Links bei TAR-Extraktion

    CVE-2026-24884 Hoch

    Die Node.js-Kompressionsbibliothek Compressing stellt in Version 2.0.0 sowie 1.10.3 und früher beim Entpacken von TAR-Archiven symbolische Links wieder her, ohne deren Ziele zu validieren. Dies ermöglicht Path-Traversal-Angriffe. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.4 EPSS: 0.01% Publiziert: Referenz: NVD
  31. OpenSSH sshd: Rechteausweitung durch nicht initialisierte Supplemental Groups

    CVE-2021-41617 Hoch

    sshd in OpenSSH 6.2 bis vor 8.8 erlaubt bei bestimmten nicht standardmässigen Konfigurationen eine Rechteausweitung, weil supplemental groups nicht wie erwartet initialisiert werden. Betroffen sind Hilfsprogramme, die von sshd ausgeführt werden. CVSS-Basiswert: 7.0 (Hoch). Empfohlene Massnahme: Aktualisierung auf OpenSSH 8.8 oder neuer.

    CVSS: 7.0 Publiziert: Referenz: NVD
  32. Node.js – Denial of Service durch Änderung im zlib-Modul (vor 4.8.5/6.11.5/8.8.0)

    CVE-2017-14919 Hoch

    Node.js vor 4.8.5, 6.x vor 6.11.5 und 8.x vor 8.8.0 erlaubt entfernten Angreifern, einen Denial of Service (nicht abgefangene Ausnahme und Absturz) auszulösen, indem sie eine Änderung im zlib-Modul 1.2.9 ausnutzen. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf eine korrigierte Node.js-Version (4.8.5, 6.11.5 bzw. 8.8.0 oder neuer) aktualisieren.

    CVSS: 7.5 Publiziert: Referenz: NVD
  33. zlib: Fehlerhafte Zeigerarithmetik in inftrees.c

    CVE-2016-9840 Hoch

    zlib ist eine weit verbreitete Kompressionsbibliothek. In Version 1.2.8 kann die Datei inftrees.c kontextabhängigen Angreifern durch fehlerhafte (unzulässige) Zeigerarithmetik eine nicht näher spezifizierte Auswirkung ermöglichen. Da zlib in zahlreichen Betriebssystemen und Anwendungen eingebettet ist, geben entsprechend viele Distributionen und Hersteller eigene Sicherheitshinweise heraus. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: Aktualisierungen der jeweiligen Distribution bzw. des Herstellers einspielen.

    CVSS: 8.8 Publiziert: Referenz: NVD
  34. CVE-2016-9842 – Undefiniertes Verhalten in zlib (inflateMark in inflate.c)

    CVE-2016-9842 Hoch

    Die Funktion inflateMark in inflate.c der Kompressionsbibliothek zlib 1.2.8 kann von kontextabhängigen Angreifern über Vektoren ausgenutzt werden, die Linksverschiebungen negativer Ganzzahlen beinhalten, und dabei nicht näher spezifizierte Auswirkungen haben. Da zlib in viele Betriebssysteme und Anwendungen eingebettet ist, sind zahlreiche Hersteller betroffen. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: die von den jeweiligen Herstellern bereitgestellten Aktualisierungen für die betroffenen Produkte einspielen.

    CVSS: 8.8 Publiziert: Referenz: NVD
  35. Linux-Kernel: Use-After-Free in proc_readdir_de()

    CVE-2025-40271 Mittel

    Im Linux-Kernel wurde ein Use-After-Free-Fehler in der Funktion proc_readdir_de() behoben. Ein Prozessdeskriptor wurde aus dem rbtree entfernt, ohne den Knoten auf EMPTY zu setzen, was unter bestimmten Umständen zu einer Nutzung bereits freigegebenen Speichers führen konnte. Ausnutzungswahrscheinlichkeit (EPSS): 4.7 %.

    EPSS: 4.66% Publiziert: Referenz: NVD
  36. Node.js – TLS-Wildcard-Authentifizierungsumgehung durch Hostname-Normalisierung

    CVE-2026-48618 Mittel

    Ein Fehler in der TLS-Hostname-Verarbeitung von Node.js führt dazu, dass Unicode-Punkt-Trennzeichen unterschiedlich normalisiert werden. Durch die Abweichung zwischen Resolver und Verifier bei der Hostname-Normalisierung kann eine Authentifizierungsumgehung bei Wildcard-Zertifikaten entstehen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 6.5 EPSS: 0.67% Publiziert: Referenz: NVD
  37. LightLLM: Nicht authentifizierte Remote-Codeausführung im PD-Disaggregation-Modus

    CVE-2026-26220 Mittel

    LightLLM in Version 1.1.0 und älter enthält eine nicht authentifizierte Remote-Codeausführung im PD-Modus (Prefill-Decode-Disaggregation). Der PD-Master-Knoten stellt WebSocket-Endpunkte bereit, die entsprechende Daten entgegennehmen. Für diese Schwachstelle liegt in den Quelldaten kein CVSS-Basiswert vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Es liegen keine Hinweise auf aktive Ausnutzung (CISA KEV) oder einen Einsatz in Ransomware-Kampagnen vor.

    EPSS: 0.66% Publiziert: Referenz: NVD
  38. Node.js: Umgehung der Zertifikatsvalidierung durch fehlerhafte TLS-Hostprüfung

    CVE-2026-48934 Mittel

    Ein Fehler in der TLS-Hostnamenüberprüfung von Node.js erlaubt einem Angreifer, die Zertifikatsvalidierung zu umgehen. Betroffen sind laut Quelle alle unterstützten Release-Linien (u. a. Node.js 22 und Node.js 24). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Node.js-Version aktualisieren.

    CVSS: 4.3 EPSS: 0.26% Publiziert: Referenz: NVD
  39. CVE-2026-59817 – Ghost: manipulierbare Spenden-Checkout-Metadaten

    CVE-2026-59817 Mittel

    Ghost ist ein auf Node.js basierendes Content-Management-System. In den Versionen ab 6.27.0 und vor 6.44.0 erlaubte der öffentliche Spenden-Checkout-Prozess einem nicht authentifizierten Angreifer, die Metadaten des Spenden-Checkouts zu kontrollieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.3 EPSS: 0.26% Publiziert: Referenz: NVD
  40. Node.js: Trust-Policy-Umgehung durch inkonsistenten Hostnamen-Abgleich in mTLS

    CVE-2026-48928 Mittel

    Eine Inkonsistenz beim Hostnamen-Abgleich in Node.js kann in mTLS-Setups mit mehreren Kontexten zu einer Umgehung der Trust-Policy führen. Betroffen sind laut Quelle alle unterstützten Release-Linien, darunter Node.js 22 und Node.js 24. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Node.js-Version aktualisieren.

    CVSS: 5.4 EPSS: 0.26% Publiziert: Referenz: NVD
  41. launch-editor für Node.js – unzureichende Eingabevalidierung

    CVE-2024-52011 Mittel

    In der Node.js-Bibliothek launch-editor wird vor Version 2.9.0 das Argument „file” im Aufruf von launchEditor unzureichend bereinigt, wodurch ein Angreifer eine Schwachstelle ausnutzen kann. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    EPSS: 0.06% Publiziert: Referenz: NVD
  42. OAuth2-Server PKCE-Validierungslücke (oauth2-server)

    CVE-2026-41213 Mittel

    Im Node.js-Modul @node-oauth/oauth2-server wurde eine Schwachstelle im Token-Austausch-Pfad entdeckt: Der Server akzeptiert ungültige RFC7636-code_verifier-Werte für S256 PKCE, darunter einzeichige Zeichenketten. Dies kann die Sicherheit des PKCE-Mechanismus unterlaufen. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.9 EPSS: 0.06% Publiziert: Referenz: NVD
  43. HAX CMS: Kryptografische Schwächen in der Funktion hmacBase64()

    CVE-2026-46395 Mittel

    HAX CMS verwaltet Microsite-Umgebungen mit PHP- oder Node.js-Backend. In Versionen vor 26.0.0 enthält die Funktion hmacBase64() im HAXcms-Node.js-Backend zwei kritische kryptografische Implementierungsfehler. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf HAX CMS Version 26.0.0 oder neuer aktualisieren.

    EPSS: 0.04% Publiziert: Referenz: NVD
  44. Linux Kernel: Speicherleck in pNFS FlexFiles (nfs4_ff_alloc_deviceid_node)

    CVE-2026-23038 Mittel

    Im Linux-Kernel wurde ein Speicherleck in der Funktion nfs4_ff_alloc_deviceid_node() des pNFS-FlexFiles-Treibers behoben. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die Distributions-Updates (z. B. Ubuntu USN-8393-1) einspielen.

    EPSS: 0.02% Publiziert: Referenz: NVD
  45. Linux Kernel: Double-Free in Rockchip USB2 PHY-Treiber

    CVE-2026-23030 Mittel

    Im Linux-Kernel wurde ein Double-Free-Fehler in der Funktion rockchip_usb2phy_probe() des Rockchip-USB2-PHY-Treibers behoben. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    EPSS: 0.02% Publiziert: Referenz: NVD
  46. Linux-Kernel: Potenzielles Use-after-free in otx2_tc_add_flow() (octeontx2-pf)

    CVE-2025-39978 Mittel

    Im Linux-Kernel wurde im octeontx2-pf-Treiber ein potenzielles Use-after-free in otx2_tc_add_flow() behoben. Der Code rief kfree_rcu(new_node, rcu) auf und dereferenzierte den Knoten anschliessend weiter. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: die von den betroffenen Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.

    Publiziert: Referenz: NVD
  47. Node.js: HTTP-Agent akzeptiert verfrühte Server-Antwort

    CVE-2026-48931 Niedrig

    Ein Fehler im HTTP-Agent von Node.js kann dazu führen, dass ein Client eine Antwort als gültig akzeptiert, die gesendet wurde, bevor der Client die Anfrage abgeschickt hat. Laut Quelle sind alle unterstützten Release-Linien betroffen. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Node.js-Version aktualisieren.

    CVSS: 3.7 EPSS: 0.37% Publiziert: Referenz: NVD
  48. Node.js: Umgehung der Permission API über Unix-Domain-Socket

    CVE-2026-48936 Niedrig

    Ein Fehler in der Permission API von Node.js kann dazu führen, dass ein lokaler Server über einen Unix-Domain-Socket gestartet wird, selbst ohne die Berechtigung --allow-net. Die Schwachstelle betrifft eine unterstützte Release-Linie. CVSS-Basiswert: 3.3 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Sicherheitsupdate von Node.js nach Verfügbarkeit einspielen.

    CVSS: 3.3 EPSS: 0.15% Publiziert: Referenz: NVD
  49. Node.js: Änderung von Datei-Metadaten trotz schreibgeschütztem Pfad (Permission API)

    CVE-2026-48935 Niedrig

    Ein Fehler in der Permission-API von Node.js erlaubt die Änderung von Datei-Metadaten selbst auf einem als schreibgeschützt markierten Pfad (z. B. mit --allow-fs-read). Betroffen sind laut Quelle alle unterstützten Release-Linien. CVSS-Basiswert: 3.3 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Node.js-Version aktualisieren.

    CVSS: 3.3 EPSS: 0.15% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Node.js, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog