远程主机上安装的 Node.js 版本低于 22.23.0、 或 24.17.0。26.3.1 因此，如 2026 年 6 月 18 日星期四安全发布公告所述，受到多个漏洞的影响。

  - 如果 subtle.encrypt（） 的输入为 2GiB 的倍数Node.js则 WebCrypto 实现中的缺陷可导致进程崩溃。（CVE-2026-48933）

  - Node.js TLS 主机名处理中的缺陷可造成 Unicode 点分隔符处理Node.js从而导致 TLS 通配符深度认证绕过，原因是解析器和校验器主机名规范化不匹配。
    (CVE-2026-48618)

  - Node.js代理隧道错误处理中的缺陷可在ERR_PROXY_TUNNEL错误消息中暴露代理凭据。当代理 URL 中嵌入代理凭据时，它们可能会通过错误处理路径暴露出来，并由日志、诊断或其他错误使用者捕获。（CVE-2026-48615）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Node.js 22.x < 22.23.0 / 24.x < 24.17.0 / 26.x < 26.3.1 多个漏洞（2026 年 6 月 18 日星期四安全版本）。

critical Nessus 插件 ID 322793

版本 1.4

版本 1.3

版本 1.1

版本 1.4 Jun 29, 2026, 10:30 AM CVSS metrics ("CVSSv2 score" set to 10.0) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSSv2 score source (changed from "CVE-2026-48618" to "CVE-2026-48930") Plugin Feed: 202606291030
版本 1.3 Jun 26, 2026, 4:08 PM CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") Exploit attributes ("Exploitability ease" set to "No known exploits are available") Plugin metadata (Add IAVM Info) Plugin Feed: 202606261608
版本 1.1 Jun 25, 2026, 3:43 PM New Plugin Feed: 202606251543