<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Node.js</title>
    <link>https://feed.xonatec.ch/produkte/node-js</link>
    <description>Priorisierte Schwachstellen-Reports für Node.js. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Mon, 13 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/node-js.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2022-0492 — Linux Kernel – Improper Authentication in cgroup_release_agent_write</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-0492</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-0492</guid>
      <pubDate>Mon, 13 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.

Severity: Hoch · CVSS: 7.8 · EPSS: 28.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: netapp, node-js, amazon-linux-alas, oracle-linux-elsa, rocky-linux, debian-dsa, ibm-storage, sap, successfactors-sap, ubuntu-usn, fedora, hpe-storage, pure-storage</description>
      <category>Hoch</category><category>KEV</category><category>NetApp</category><category>Node.js</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Debian (DSA)</category><category>IBM Storage</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Ubuntu (USN)</category><category>Fedora</category><category>HPE Storage</category><category>Pure Storage</category>
    </item>
    <item>
      <title>🔴 CVE-2021-21315 — System Information Library für Node.JS – Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-21315</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-21315</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die System Information Library für Node.JS weist eine Command-Injection-Schwachstelle auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.0 %.

Severity: Aktiv ausgenutzt · EPSS: 94.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: node-js</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Node.js</category>
    </item>
    <item>
      <title>🔴 CVE-2005-2773 — HP OpenView Network Node Manager – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2005-2773</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2005-2773</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In HP OpenView Network Node Manager wurde eine Schwachstelle zur Remote-Codeausführung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.8 %.

Severity: Aktiv ausgenutzt · EPSS: 89.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: node-js, hp-hp-psirt</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Node.js</category><category>HP (HP PSIRT)</category>
    </item>
    <item>
      <title>CVE-2022-37434 — zlib – Heap-Buffer-Over-Read in inflate (grosses gzip-Extra-Feld)</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-37434</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-37434</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der weit verbreiteten Kompressionsbibliothek zlib (bis einschliesslich Version 1.2.12) besteht in der Funktion inflate (inflate.c) ein heap-basiertes Buffer-Over-Read beziehungsweise ein Pufferüberlauf, der über ein grosses Extra-Feld im gzip-Header ausgelöst wird. Betroffen sind ausschliesslich Anwendungen, die inflateGetHeader aufrufen. Da zlib in zahlreiche Produkte eingebettet ist, führen mehrere Hersteller (unter anderem ABB, NetApp, Rockwell Automation, Node.js und Apple) eigene Advisories. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 16.0 %. Laut ABB PSIRT sind 2 Produkt(e) betroffen, 0 mit Fix. Empfohlene Massnahme: betroffene Komponenten gemäss den jeweiligen Hersteller-Advisories auf eine korrigierte zlib-Version aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 16.0%

Betroffene Produkte: abb-psirt, fedora, debian-dsa, amazon-linux-alas, oracle-linux-elsa, rocky-linux, netapp, rockwell-automation, node-js, apple-macos-ios, stormshield</description>
      <category>Kritisch</category><category>ABB PSIRT</category><category>Fedora</category><category>Debian (DSA)</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>NetApp</category><category>Rockwell Automation</category><category>Node.js</category><category>Apple (macOS/iOS)</category><category>Stormshield</category>
    </item>
    <item>
      <title>CVE-2026-33646 — mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33646</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33646</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.7%

Betroffene Produkte: node-js, python, hashicorp-vault-terraform-consul</description>
      <category>Kritisch</category><category>Node.js</category><category>Python</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-47140 — vm2 (Node.js-Sandbox) – Sandbox-Ausbruch über nicht blockierte Builtins</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47140</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47140</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>vm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 blockiert NodeVM zwar mehrere gefährliche Node.js-Builtins wie module, worker_threads, cluster, vm, repl und inspector, die Absicherung greift jedoch nicht vollständig. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.5%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-47208 — vm2 (Node.js) – Sandbox-Ausbruch vor Version 3.11.4</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47208</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47208</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>vm2 ist eine quelloffene VM- bzw. Sandbox-Umgebung für Node.js. In Versionen vor 3.11.4 besteht eine Sandbox-Breakout-Schwachstelle: Angreifer können Code schreiben, der aus der vm2-Sandbox ausbricht. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – mit Scope-Wechsel, was für einen Sandbox-Ausbruch charakteristisch ist. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf vm2 3.11.4 oder neuer; Anwendungen, die nicht vertrauenswürdigen Code in vm2 ausführen, sind besonders exponiert.

Severity: Kritisch · CVSS: 10 · EPSS: 0.5%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-47210 — vm2 (Node.js): Sandbox-Escape ermöglicht Codeausführung im Host-Prozess</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47210</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47210</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>vm2 ist eine quelloffene VM- bzw. Sandbox-Umgebung für Node.js. In Versionen vor 3.11.4 erlaubt eine Sandbox-Escape-Schwachstelle die Ausführung beliebigen Codes im Host-Prozess, wenn nicht vertrauenswürdiger Code ausgeführt wird. CVSS-Basiswert: 9.8 (Kritisch). Die Lücke ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: vm2 auf Version 3.11.4 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48930 — Node.js: Authority-Rebinding durch Nul-Bytes in TLS-Hostnamen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48930</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48930</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der Verarbeitung von TLS-Hostnamen in Node.js führt dazu, dass Hostnamen mit eingebettetem Nul-Byte durch die C-String-Trunkierung in den Resolver-Bindings still auf eine andere Authority umgebogen werden können. Laut Quelle sind alle unterstützten Versionen betroffen. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-47131 — vm2 (Node.js) – Sandbox-Ausbruch über Prototype-Zugriff vor Version 3.11.4</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47131</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47131</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>vm2 ist eine quelloffene VM/Sandbox für Node.js. Vor Version 3.11.4 lässt sich durch die Kombination von Buffer.call.call() mit __lookupGetter__/__lookupSetter__ auf __proto__ zugreifen und die Sandbox-Isolation aushebeln. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – Ausnutzung über das Netz ohne Authentifizierung, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffen sind Node.js-Anwendungen, die vm2 zur Ausführung von nicht vertrauenswürdigem Code einsetzen.

Severity: Kritisch · CVSS: 10 · EPSS: 0.4%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-44990 — sanitize-html / ApostropheCMS: Unzureichende HTML-Bereinigung in der Standardkonfiguration</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44990</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44990</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ApostropheCMS ist ein quelloffenes Node.js-Content-Management-System; sanitize-html stellt einen HTML-Sanitizer bereit. In der Standardkonfiguration sind ältere Versionen von sanitize-html laut Quelle von einer Schwachstelle betroffen. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.3 · EPSS: 0.4%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-47137 — vm2 (Node.js-Sandbox): Unvollständiger Fix für GHSA-8hg8-63c5-gwmx umgehbar</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47137</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47137</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>vm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 lässt sich die mit dem Fix für GHSA-8hg8-63c5-gwmx (CVE-2023-37903) in nodevm.js eingeführte Prüfung umgehen, die eine bestimmte Nesting-Kombination blockieren sollte. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.4%

Betroffene Produkte: node-js, check-point</description>
      <category>Kritisch</category><category>Node.js</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-48814 — Network-AI – Unauthentifizierte MCP-Tool-Aufrufe durch leeres Standard-Secret</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48814</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48814</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Network-AI, ein Multi-Agent-Orchestrator für TypeScript/Node.js, erlaubt in Version 5.7.1 und früher unauthentifizierte, quellübergreifende (cross-origin) Aufrufe von MCP-Tools. Ursache ist ein leeres Standard-Secret im MCP-SSE-Server. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-53943 — Ghost: unauthentifizierter Zugriff auf zwischengespeicherte Inhalte hinter geteiltem Cache</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53943</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53943</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ghost ist ein Content-Management-System auf Node.js-Basis. In Versionen vor 6.37.0 kann ein nicht authentifizierter Angreifer die Schwachstelle ausnutzen, wenn Ghost hinter einer gemeinsam genutzten Caching-Schicht betrieben wird, sodass zwischengespeicherte Inhalte zwischen verschiedenen Besuchern geteilt werden. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Ghost 6.37.0 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.2%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone, node-js</description>
      <category>Kritisch</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-53609 — ApostropheCMS (Node.js): Prototype Pollution über apos.util.set()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53609</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53609</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ApostropheCMS ist ein Open-Source-Content-Management-System auf Node.js-Basis. In Versionen bis einschliesslich 4.30.0 traversiert apos.util.set() Punkt-Notations-Pfade, ohne __proto__ zu bereinigen, was einem authentifizierten Angreifer Prototype Pollution erlaubt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: node-js</description>
      <category>Kritisch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2018-25032 — zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-25032</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-25032</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 52.1%

Betroffene Produkte: zimbra, python, microsoft-windows, debian-dsa, amazon-linux-alas, oracle-linux-elsa, rocky-linux, fedora, apple-macos-ios, mysql-mariadb, netapp, rockwell-automation, node-js, siemens-healthineers, siemens-productcert</description>
      <category>Hoch</category><category>Synacor / Zimbra</category><category>Python</category><category>Microsoft Windows</category><category>Debian (DSA)</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Fedora</category><category>Apple (macOS/iOS)</category><category>MySQL/MariaDB</category><category>NetApp</category><category>Rockwell Automation</category><category>Node.js</category><category>Siemens Healthineers</category><category>Siemens ProductCERT</category>
    </item>
    <item>
      <title>CVE-2026-25545 — Astro Web-Framework – SSRF in Server-Side Rendered Fehlerseiten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-25545</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-25545</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Astro Web-Framework sind vor Version 9.5.4 Server-Side Rendered Seiten, die bei einem Fehler eine vorgerenderte benutzerdefinierte Fehlerseite zurückgeben, anfällig für Server-Side Request Forgery (SSRF). CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 5.1 %.

Severity: Hoch · CVSS: 8.6 · EPSS: 5.1%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48933 — Node.js WebCrypto: Absturz des Prozesses bei sehr grossen Eingaben in subtle.encrypt()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48933</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48933</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der WebCrypto-Implementierung von Node.js kann den Prozess zum Absturz bringen, wenn die Eingabe von `subtle.encrypt()` ein Vielfaches von 2 GiB beträgt. Laut Quelle sind alle unterstützten Release-Linien betroffen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.8 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Node.js-Version aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 2.8%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48619 — Node.js: Speichererschöpfung im HTTP/2-Client durch ORIGIN-Frames</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48619</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48619</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler im HTTP/2-Client von Node.js erlaubt es einem Server, eine unbegrenzte Anzahl von ORIGIN-Frames zu senden, was auf dem Client zu einem Out-of-Memory-Fehler führen kann. Betroffen sind alle unterstützten Releases. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.7%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48615 — Node.js: Offenlegung von Proxy-Zugangsdaten in ERR_PROXY_TUNNEL-Fehlermeldungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48615</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48615</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der Fehlerbehandlung des Proxy-Tunnels von Node.js kann Proxy-Zugangsdaten in ERR_PROXY_TUNNEL-Fehlermeldungen offenlegen; sind die Zugangsdaten in der Proxy-URL eingebettet, können sie darüber preisgegeben werden. Als betroffen ausgewiesen ist Node.js. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-31309 — Mysterium Node – Fehlerhafte Autorisierung im Konfigurations-Endpunkt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-31309</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-31309</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Endpunkt /tequilapi/config/user von Mysterium Node (ab Version 1.21.1-rc0 vor 1.36.0) erlaubt eine fehlerhafte Autorisierung einem nicht authentifizierten Angreifer, die Konfiguration des Node beliebig zu überschreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten auf Version 1.36.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-37226 — FlexRIC – Denial of Service durch ungültigen E2-Knoten in Subscription-Request</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-37226</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-37226</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>FlexRIC v2.0.0 stürzt ab, wenn die iApp eine E42_RIC_SUBSCRIPTION_REQUEST erhält, die auf einen nicht vorhandenen E2-Knoten verweist. Die Suchfunktion gibt NULL zurück, was in Debug-Builds durch assert() zu einem SIGABRT führt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-37224 — FlexRIC – Denial of Service durch doppelten E2_SETUP_REQUEST</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-37224</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-37224</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>FlexRIC v2.0.0 stürzt ab, wenn ein doppelter E2_SETUP_REQUEST vom selben oder einem gefälschten E2-Knoten empfangen wird. Die Einzigartigkeit der Knoten-ID wird über assert() erzwungen statt durch eine kontrollierte Ablehnung, was ein entfernter Angreifer ausnutzen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-10796 — nvm: Beliebige Befehlsausführung über manipulierte Mirror-Versionsstrings</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10796</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10796</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>nvm (Node Version Manager) bis einschliesslich 0.40.4 führt beliebige Befehle aus, die über von der konfigurierten Node.js-/io.js-Mirror gelieferte Versionsstrings eingeschleust werden; Befehle wie `nvm install` lesen die verfügbaren Versionen von der Mirror. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-4933 — Drupal Unpublished Node Permissions: Incorrect Authorization (Forceful Browsing)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4933</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4933</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Drupal-Modul „Unpublished Node Permissions” weist in Versionen ab 0.0.0 bis vor 1.7.0 eine fehlerhafte Autorisierungsprüfung auf, die Forceful Browsing ermöglicht. Angreifer können so auf unveröffentlichte Inhalte zugreifen, für die sie keine Berechtigung haben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-45302 — parse-nested-form-data: Prototype-Pollution-Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45302</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45302</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Node.js-Modul parse-nested-form-data enthält vor Version 1.0.1 eine Schwachstelle in der Funktion parseFormData(): Beim Verarbeiten von FormData-Feldnamen in Klammer- und Punkt-Notation können Objekte unkontrolliert verschachtelt werden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.2 · EPSS: 0.0%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-29186 — Backstage – Konfigurationsumgehung ermöglicht Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-29186</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-29186</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Backstage-Framework für Entwicklerportale ermöglicht eine Konfigurationsumgehungs-Schwachstelle vor Version 1.14.3 die Ausführung von beliebigem Code. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.0%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-40931 — Compressing (Node.js) – unzureichende Path-Traversal-Validierung (Bypass von CVE-2026-24884)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40931</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40931</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Node.js-Bibliothek Compressing vor Version 2.1.1 bzw. 1.10.5 basiert der Patch für CVE-2026-24884 auf einer rein logischen Zeichenkettenvalidierung in der Hilfsfunktion isPathWithinParent, die umgangen werden kann. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.0%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-29087 — @hono/node-server – Umgehung von Middleware-Schutz bei statischen Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-29087</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-29087</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In @hono/node-server werden vor Version 1.19.10 beim gleichzeitigen Einsatz der statischen Dateiauslieferung und routenbasierter Middleware-Schutzregeln diese Schutzregeln umgangen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-24884 — Compressing (Node.js) – Path-Traversal über symbolische Links bei TAR-Extraktion</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24884</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24884</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Node.js-Kompressionsbibliothek Compressing stellt in Version 2.0.0 sowie 1.10.3 und früher beim Entpacken von TAR-Archiven symbolische Links wieder her, ohne deren Ziele zu validieren. Dies ermöglicht Path-Traversal-Angriffe. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.0%

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2021-41617 — OpenSSH sshd: Rechteausweitung durch nicht initialisierte Supplemental Groups</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-41617</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-41617</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>sshd in OpenSSH 6.2 bis vor 8.8 erlaubt bei bestimmten nicht standardmässigen Konfigurationen eine Rechteausweitung, weil supplemental groups nicht wie erwartet initialisiert werden. Betroffen sind Hilfsprogramme, die von sshd ausgeführt werden. CVSS-Basiswert: 7.0 (Hoch). Empfohlene Massnahme: Aktualisierung auf OpenSSH 8.8 oder neuer.

Severity: Hoch · CVSS: 7

Betroffene Produkte: openbsd, openssh, fedora, netapp, node-js, hpe-storage, ibm-storage, pure-storage</description>
      <category>Hoch</category><category>OpenBSD</category><category>OpenSSH</category><category>Fedora</category><category>NetApp</category><category>Node.js</category><category>HPE Storage</category><category>IBM Storage</category><category>Pure Storage</category>
    </item>
    <item>
      <title>CVE-2017-14919 — Node.js – Denial of Service durch Änderung im zlib-Modul (vor 4.8.5/6.11.5/8.8.0)</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-14919</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-14919</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Node.js vor 4.8.5, 6.x vor 6.11.5 und 8.x vor 8.8.0 erlaubt entfernten Angreifern, einen Denial of Service (nicht abgefangene Ausnahme und Absturz) auszulösen, indem sie eine Änderung im zlib-Modul 1.2.9 ausnutzen. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf eine korrigierte Node.js-Version (4.8.5, 6.11.5 bzw. 8.8.0 oder neuer) aktualisieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: node-js</description>
      <category>Hoch</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2016-9840 — zlib: Fehlerhafte Zeigerarithmetik in inftrees.c</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-9840</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-9840</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>zlib ist eine weit verbreitete Kompressionsbibliothek. In Version 1.2.8 kann die Datei inftrees.c kontextabhängigen Angreifern durch fehlerhafte (unzulässige) Zeigerarithmetik eine nicht näher spezifizierte Auswirkung ermöglichen. Da zlib in zahlreichen Betriebssystemen und Anwendungen eingebettet ist, geben entsprechend viele Distributionen und Hersteller eigene Sicherheitshinweise heraus. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: Aktualisierungen der jeweiligen Distribution bzw. des Herstellers einspielen.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: suse-opensuse, debian-dsa, amazon-linux-alas, oracle-linux-elsa, rocky-linux, ubuntu-usn, mysql-mariadb, apple-macos-ios, node-js</description>
      <category>Hoch</category><category>SUSE/openSUSE</category><category>Debian (DSA)</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Ubuntu (USN)</category><category>MySQL/MariaDB</category><category>Apple (macOS/iOS)</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2016-9842 — CVE-2016-9842 – Undefiniertes Verhalten in zlib (inflateMark in inflate.c)</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-9842</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-9842</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Funktion inflateMark in inflate.c der Kompressionsbibliothek zlib 1.2.8 kann von kontextabhängigen Angreifern über Vektoren ausgenutzt werden, die Linksverschiebungen negativer Ganzzahlen beinhalten, und dabei nicht näher spezifizierte Auswirkungen haben. Da zlib in viele Betriebssysteme und Anwendungen eingebettet ist, sind zahlreiche Hersteller betroffen. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: die von den jeweiligen Herstellern bereitgestellten Aktualisierungen für die betroffenen Produkte einspielen.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: suse-opensuse, debian-dsa, amazon-linux-alas, oracle-linux-elsa, rocky-linux, ubuntu-usn, mysql-mariadb, apple-macos-ios, node-js</description>
      <category>Hoch</category><category>SUSE/openSUSE</category><category>Debian (DSA)</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Ubuntu (USN)</category><category>MySQL/MariaDB</category><category>Apple (macOS/iOS)</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2025-40271 — Linux-Kernel: Use-After-Free in proc_readdir_de()</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-40271</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-40271</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde ein Use-After-Free-Fehler in der Funktion proc_readdir_de() behoben. Ein Prozessdeskriptor wurde aus dem rbtree entfernt, ohne den Knoten auf EMPTY zu setzen, was unter bestimmten Umständen zu einer Nutzung bereits freigegebenen Speichers führen konnte. Ausnutzungswahrscheinlichkeit (EPSS): 4.7 %.

Severity: Mittel · EPSS: 4.7%

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, node-js</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48618 — Node.js – TLS-Wildcard-Authentifizierungsumgehung durch Hostname-Normalisierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48618</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48618</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der TLS-Hostname-Verarbeitung von Node.js führt dazu, dass Unicode-Punkt-Trennzeichen unterschiedlich normalisiert werden. Durch die Abweichung zwischen Resolver und Verifier bei der Hostname-Normalisierung kann eine Authentifizierungsumgehung bei Wildcard-Zertifikaten entstehen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.7%

Betroffene Produkte: node-js</description>
      <category>Mittel</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-26220 — LightLLM: Nicht authentifizierte Remote-Codeausführung im PD-Disaggregation-Modus</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-26220</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-26220</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>LightLLM in Version 1.1.0 und älter enthält eine nicht authentifizierte Remote-Codeausführung im PD-Modus (Prefill-Decode-Disaggregation). Der PD-Master-Knoten stellt WebSocket-Endpunkte bereit, die entsprechende Daten entgegennehmen. Für diese Schwachstelle liegt in den Quelldaten kein CVSS-Basiswert vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Es liegen keine Hinweise auf aktive Ausnutzung (CISA KEV) oder einen Einsatz in Ransomware-Kampagnen vor.

Severity: Mittel · EPSS: 0.7%

Betroffene Produkte: node-js</description>
      <category>Mittel</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48934 — Node.js: Umgehung der Zertifikatsvalidierung durch fehlerhafte TLS-Hostprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48934</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48934</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der TLS-Hostnamenüberprüfung von Node.js erlaubt einem Angreifer, die Zertifikatsvalidierung zu umgehen. Betroffen sind laut Quelle alle unterstützten Release-Linien (u. a. Node.js 22 und Node.js 24). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Node.js-Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.3%

Betroffene Produkte: node-js</description>
      <category>Mittel</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-59817 — CVE-2026-59817 – Ghost: manipulierbare Spenden-Checkout-Metadaten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59817</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59817</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ghost ist ein auf Node.js basierendes Content-Management-System. In den Versionen ab 6.27.0 und vor 6.44.0 erlaubte der öffentliche Spenden-Checkout-Prozess einem nicht authentifizierten Angreifer, die Metadaten des Spenden-Checkouts zu kontrollieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.3%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone, node-js, n-able</description>
      <category>Mittel</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category><category>Node.js</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-48928 — Node.js: Trust-Policy-Umgehung durch inkonsistenten Hostnamen-Abgleich in mTLS</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48928</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48928</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Inkonsistenz beim Hostnamen-Abgleich in Node.js kann in mTLS-Setups mit mehreren Kontexten zu einer Umgehung der Trust-Policy führen. Betroffen sind laut Quelle alle unterstützten Release-Linien, darunter Node.js 22 und Node.js 24. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Node.js-Version aktualisieren.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.3%

Betroffene Produkte: node-js</description>
      <category>Mittel</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2024-52011 — launch-editor für Node.js – unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-52011</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-52011</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Node.js-Bibliothek launch-editor wird vor Version 2.9.0 das Argument „file” im Aufruf von launchEditor unzureichend bereinigt, wodurch ein Angreifer eine Schwachstelle ausnutzen kann. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · EPSS: 0.1%

Betroffene Produkte: node-js</description>
      <category>Mittel</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-41213 — OAuth2-Server PKCE-Validierungslücke (oauth2-server)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41213</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41213</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Node.js-Modul @node-oauth/oauth2-server wurde eine Schwachstelle im Token-Austausch-Pfad entdeckt: Der Server akzeptiert ungültige RFC7636-code_verifier-Werte für S256 PKCE, darunter einzeichige Zeichenketten. Dies kann die Sicherheit des PKCE-Mechanismus unterlaufen. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 5.9 · EPSS: 0.1%

Betroffene Produkte: node-js</description>
      <category>Mittel</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-46395 — HAX CMS: Kryptografische Schwächen in der Funktion hmacBase64()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46395</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46395</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>HAX CMS verwaltet Microsite-Umgebungen mit PHP- oder Node.js-Backend. In Versionen vor 26.0.0 enthält die Funktion hmacBase64() im HAXcms-Node.js-Backend zwei kritische kryptografische Implementierungsfehler. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf HAX CMS Version 26.0.0 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: php, node-js</description>
      <category>Mittel</category><category>PHP</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-23038 — Linux Kernel: Speicherleck in pNFS FlexFiles (nfs4_ff_alloc_deviceid_node)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23038</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23038</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde ein Speicherleck in der Funktion nfs4_ff_alloc_deviceid_node() des pNFS-FlexFiles-Treibers behoben. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die Distributions-Updates (z. B. Ubuntu USN-8393-1) einspielen.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, node-js, ubuntu-usn</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Node.js</category><category>Ubuntu (USN)</category>
    </item>
    <item>
      <title>CVE-2026-23030 — Linux Kernel: Double-Free in Rockchip USB2 PHY-Treiber</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23030</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23030</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde ein Double-Free-Fehler in der Funktion rockchip_usb2phy_probe() des Rockchip-USB2-PHY-Treibers behoben. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, node-js, ubuntu-usn</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Node.js</category><category>Ubuntu (USN)</category>
    </item>
    <item>
      <title>CVE-2025-39978 — Linux-Kernel: Potenzielles Use-after-free in otx2_tc_add_flow() (octeontx2-pf)</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-39978</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-39978</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde im octeontx2-pf-Treiber ein potenzielles Use-after-free in otx2_tc_add_flow() behoben. Der Code rief kfree_rcu(new_node, rcu) auf und dereferenzierte den Knoten anschliessend weiter. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: die von den betroffenen Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.

Severity: Mittel

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, node-js</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48931 — Node.js: HTTP-Agent akzeptiert verfrühte Server-Antwort</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48931</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48931</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler im HTTP-Agent von Node.js kann dazu führen, dass ein Client eine Antwort als gültig akzeptiert, die gesendet wurde, bevor der Client die Anfrage abgeschickt hat. Laut Quelle sind alle unterstützten Release-Linien betroffen. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Node.js-Version aktualisieren.

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.4%

Betroffene Produkte: node-js</description>
      <category>Niedrig</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48935 — Node.js: Änderung von Datei-Metadaten trotz schreibgeschütztem Pfad (Permission API)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48935</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48935</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der Permission-API von Node.js erlaubt die Änderung von Datei-Metadaten selbst auf einem als schreibgeschützt markierten Pfad (z. B. mit --allow-fs-read). Betroffen sind laut Quelle alle unterstützten Release-Linien. CVSS-Basiswert: 3.3 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Node.js-Version aktualisieren.

Severity: Niedrig · CVSS: 3.3 · EPSS: 0.2%

Betroffene Produkte: node-js</description>
      <category>Niedrig</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-48936 — Node.js: Umgehung der Permission API über Unix-Domain-Socket</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48936</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48936</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der Permission API von Node.js kann dazu führen, dass ein lokaler Server über einen Unix-Domain-Socket gestartet wird, selbst ohne die Berechtigung --allow-net. Die Schwachstelle betrifft eine unterstützte Release-Linie. CVSS-Basiswert: 3.3 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Sicherheitsupdate von Node.js nach Verfügbarkeit einspielen.

Severity: Niedrig · CVSS: 3.3 · EPSS: 0.2%

Betroffene Produkte: node-js</description>
      <category>Niedrig</category><category>Node.js</category>
    </item>
  </channel>
</rss>
