
Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en productos Node.js, incluyendo dos de severidad alta. Un actor malicioso podría lograr la omisión de autenticación en conexiones TLS o provocar una denegación de servicio.
Productos afectados
- 26.x
- 24.x
- 22.x
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-48618: con una puntuación de 7.7 en CVSS v3.0. Existe una vulnerabilidad de manejo incorrecto de codificación Unicode en la verificación de nombres de host TLS. Un actor malicioso remoto podría aprovechar las discrepancias de normalización en los separadores de puntos Unicode para evadir las restricciones de certificados comodín, lo que permite una omisión de autenticación.
CVE-2026-48933: con una puntuación de 7.5 en CVSS v3.0. Existe una vulnerabilidad de desbordamiento de enteros debido a una validación de entrada incorrecta en la implementación de WebCrypto de Node.js. Este provoca el bloqueo del proceso si la entrada de subtle.encrypt() es un múltiplo de 2 GiB. Un actor malicioso remoto podría aprovechar esta deficiencia enviando datos manipulados al sistema para provocar una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias