文章总结： Node.js发布关键安全更新，修复包括高危WebCryptoAES整数溢出漏洞（CVE-2026-48933）和TLS身份验证绕过漏洞（CVE-2026-48618）在内的多个安全缺陷，涉及22.x、24.x、26.x版本线。文档要求管理员立即升级至v22.23.1、v24.17.1、v26.3.2等安全版本，以防范拒绝服务攻击和敏感信息泄露风险。 综合评分： 85 文章分类： 漏洞预警,应用安全,网络安全,安全运营,云安全

Node.js 安全更新：需要紧急处理

sec随谈 sec随谈

sec随谈

2026年6月22日 09:11 北京

在小说阅读器读本章

去阅读

Node.js 关键安全更新发布

开发人员必须尽快应用最新的 Node.js 安全更新。Node.js 项目近期发布了关键补丁，以修复严重的系统漏洞。因此，系统管理员必须立即升级其环境，以确保全面防护。这些重要补丁涵盖 26.x、24.x 和 22.x 发布线。此次更新旨在修复可能使服务器遭受网络攻击的重大缺陷。因此，各组织不能拖延这些至关重要的软件升级。

高危风险已得到修复

本次 Node.js 安全更新主要针对两个高危漏洞。首先，CVE-2026-48933 涉及一个危险的 WebCrypto AES 整数溢出问题。根据安全公告，”Node.js WebCrypto 实现中存在一个缺陷，若 subtle.encrypt() 的输入是 2GiB 的倍数，则可能导致进程崩溃。”因此，攻击者可轻易发动远程拒绝服务（DoS）攻击。其次，CVE-2026-48618 暴露了一个严重的 TLS 身份验证绕过漏洞，该漏洞与不当的 Unicode 点分隔符处理有关。这可能导致黑客轻松绕过安全验证，并成功突破预设的系统边界。

中危漏洞已完成修补

此外，安全团队还成功修复了多个中等严重性问题。例如，CVE-2026-48615 会在系统错误消息中泄露敏感的代理凭据，黑客可直接从特定错误输出中获取私密信息。CVE-2026-48619 则允许 HTTP/2 客户端出现无限制的内存增长，恶意行为者可通过发送无限量的 ORIGIN 帧触发严重的内存溢出崩溃。因此，这些中危漏洞同样需要立即关注。此外，CVE-2026-48928 在多上下文 mTLS 配置中造成关键的信任策略绕过，该绕过问题源于大写 SNI 上下文匹配不一致。

更多中低危漏洞已修复

另一个中危漏洞 CVE-2026-48930 涉及嵌入式空字符主机名问题，可导致静默授权重绑定。此外，本次 Node.js 安全更新还修复了若干低危漏洞：CVE-2026-48617 利用路径验证错误实现权限模型绕过；CVE-2026-48935 可修改受限只读路径上的文件元数据；CVE-2026-48936 通过 Unix 域套接字服务器绕过网络限制；CVE-2026-48931 则引入了危险的 HTTP 响应队列污染问题，使得易受攻击的客户端可能在尚未发送原始请求之前就接受响应。

立即升级您的基础设施

为全面保障您的数字基础设施安全，请立即下载已修复的版本。具体而言，安全版本包括 Node.js v22.23.1、v24.17.1 和 v26.3.2。归根结底，保持持续更新是抵御新兴网络安全威胁的最佳防线。因此，请尽快实施这些关键修复。延迟更新将使您的整个网络面临被利用的风险。最后，请始终关注官方渠道，及时获取未来的漏洞披露信息。

参考链接：

https://nodejs.org/en/blog/vulnerability/june-2026-security-releases

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Node.js 安全更新：需要紧急处理》