远程主机上安装的 Node.js 版本低于 20.20.2。因此，它受到 2026 年 3 月 24 日星期二安全版本公告中提及的多个漏洞影响。

  - Node.js TLS 错误处理中存在一个缺陷，远程攻击者可利用此缺陷，在使用 `pskCallback` 或 `ALPNCallback` 期间造成 TLS 服务器崩溃或耗尽其资源。在执行这类回调期间抛出的同步异常可绕过标准 TLS 错误处理路径（tlsClientError 和 error），导致进程立即终止或静默文件描述符泄漏，最终造成拒绝服务。这类回调会在 TLS 握手期间处理攻击者控制的输入，因此远程客户端可重复触发此问题。此漏洞会影响多个 Node.js 版本中使用 PSK 或 ALPN 回调的 TLS 服务器，而这些回调会在未被安全封装的情况下在该等服务器中抛出。(CVE-2026-21637)

  - 已在 Node.js 中发现一个漏洞，使用 --allow-fs-write 标记时，此漏洞会影响使用实验性权限模型的用户。Node.js 权限模型不会对文件描述符进行任何操作，但 fs.fchown 或 fs.fchmod 等操作可使用只读文件描述符来更改文件的所有者和权限。(CVE-2024-36137)

  - 如果收到的请求包含名为 __proto__ 的标头，且应用程序可以访问 req.headersDistinct，则 Node.js HTTP 请求处理中的缺陷会导致未捕获的 TypeError。发生这种情况时，dest[__proto__] 会解析为 Object.prototype，而非 undefined，从而导致在非数组中调用 .push()。此异常会在属性 getter 内同步抛出，并且无法被错误事件监听程序拦截，即若未将每个 req.headersDistinct 访问封装在 try/catch 中，便无法处理此异常。感谢 yushengchen 报告此漏洞，同时感谢 mcollina 修复此漏洞。(CVE-2026-21710)

  - Node.js 权限模型网络强制执行中存在一个缺陷，可导致 Unix 域套接字 (UDS) 服务器操作无法执行所需的权限检查，而所有类似的网络路径都能正确执行这些检查。因此，在未启用 --allow-net 时以 --permission 权限运行的代码可创建并暴露本地 IPC 端点，从而允许在预期网络限制边界之外与同一主机上的其他进程进行通信。感谢 xavlimsg 报告此漏洞，同时感谢 RafaelGSS 修复此漏洞。
    (CVE-2026-21711)

  - Node.js URL 处理中存在一个缺陷，可在使用包含无效字符的畸形国际化域名 (IDN) 调用 url.format() 时造成本机代码发生断言失败，进而造成 Node.js 进程崩溃。感谢 wooffie 报告此漏洞，同时感谢 RafaelGSS 修复此漏洞。
    (CVE-2026-21712)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Node.js 20.x < 20.20.2 多个漏洞（2026 年 3 月 24 日星期二安全版本）。

high Nessus 插件 ID 303494

版本 1.2