Node.jsプロジェクトは、22.x・24.x・26.xの各リリースラインを対象とした重要なセキュリティアップデートをリリースしました。今回のアップデートでは12件の脆弱性が修正されており、中でも認証バイパスやリモートプロセスのクラッシュを引き起こしうる高深刻度の欠陥2件が特に注目されます。
2026年6月18日にリリースされたこれらのアップデートについて、サポート対象のNode.jsを利用しているユーザーは、修正済みバージョン(v22.23.0、v24.17.0、v26.3.1)への即時アップデートが求められます。
今回のアップデートで最も優先度が高いのは、「高(High)」評価を受けた2件の脆弱性です。CVE-2026-48933は、Node.jsのWebCrypto実装に存在する問題で、subtle.encrypt()が2GiBの倍数となる入力を受け取った際に整数オーバーフローが発生します。
これによりリモートプロセスが強制終了され、サポート対象の全リリースラインでサービス拒否(DoS)状態が引き起こされます。Erichによって報告され、Filip Skokanが修正したこの欠陥は、暗号処理パイプラインにおいて深刻なリスクをもたらします。
CVE-2026-48618は、Unicodeのドット区切り文字の不適切な処理に起因するTLS認証バイパスの問題です。
名前解決と検証におけるホスト名の正規化ロジックに不一致があるため、攻撃者はTLSワイルドカードの深度証明書検証を回避し、機密性の侵害やセキュリティ境界の迂回を行える可能性があります。
さらに3件の中深刻度CVEもTLSホスト名検証を標的としており、Node.jsの証明書検証ロジックに対する集中的な調査が行われていることが示唆されます。
これら3件はいずれもNode.js 22・24・26に影響し、tmeletlidisおよび3d7ombによって報告、Matteo Collinaが修正しました。
サーバーサイドのリスクとしては、HTTP/2に関する中深刻度の脆弱性も2件確認されています。CVE-2026-48619は、悪意のあるサーバーがHTTP/2クライアントに無制限のORIGINフレームを送り付け、メモリ枯渇やクライアント側のリソース枯渇攻撃を引き起こすことを可能にします。
CVE-2026-48937はNode.js 22および24に影響し、HTTP/2サーバーがGOAWAYフレーム送信後もデータの受け入れを継続するため、セッションの適切なクリーンアップが妨げられます。
CVE-2026-48615(中深刻度)では、プロキシURLに含まれるプロキシ認証情報がERR_PROXY_TUNNELエラーメッセージを通じて露出し、ログや診断ツールによって取得される可能性があります。
また、低深刻度のパーミッションモデルバイパス4件(CVE-2026-48617、CVE-2026-48935、CVE-2026-48936、CVE-2026-48931)では、http.AgentにおけるTOCTOU競合状態を悪用した、未許可のファイルシステム書き込み、ネットワークソケット作成、HTTPレスポンスキューへのポイズニングが可能となります。
CVEパッチと合わせて、今回のリリースでは主要な依存関係のアップグレードも行われています。具体的には、llhttp 9.4.2、nghttp2 1.69.0、OpenSSL 3.5.7、および各リリースライン向けのundiciのバージョン別更新が含まれており、Node.jsが発表しています。
サポートが終了したNode.jsのバージョンにはすべてパッチが適用されないため、脆弱な状態のままとなります。各組織は最新の修正済みリリースへのアップグレードを優先するとともに、プロキシ設定、TLSホスト名検証ロジック、HTTP/2サーバー実装の影響範囲についても監査を行うことが推奨されます。
翻訳元: https://cyberpress.org/critical-node-js-security-release-patches/
