RHEL 10:nodejs22 (RHSA-2026:35842)

medium Nessus 插件 ID 325168

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 10 主机上安装的程序包受到 RHSA-2026:35842 公告中提及的多个漏洞影响。

Node.js 是一个基于 Chrome JavaScript 运行时的平台,旨在轻松构建快速、可扩展的网络应用程序。Node.js 采用事件驱动、非阻塞的 I/O 模型,使其轻量且高效,非常适合在分布式设备上运行的数据密集型实时应用程序。

安全修复:

* ip-address:ip-address:通过对不受信任的输入进行不当 HTML 转义造成跨站脚本 (CVE-2026-42338)

* undici:undici:通过 WebSocket 帧造成的无限制内存增长导致拒绝服务 (CVE-2026-12151)

* undici:Undici:未正确解析缓存控制标头导致信息泄露 (CVE-2026-9678)

* undici:Undici:在重用的保持活动套接字上的响应队列中毒可导致错误的响应传递。(CVE-2026-6733)

* undici:undici:错误解析 Set-Cookie 标头导致 cookie SameSite 策略变弱 (CVE-2026-11525)

* nodejs:Node.js:通过无限 HTTP/2 ORIGIN 帧造成拒绝服务 (CVE-2026-48619)

* nodejs:Node.js:由于 TLS 处理中的 embedded-nul 主机名导致静默颁发机构重新绑定 (CVE-2026-48930)

* nodejs:Node.js:未经授权的文件元数据修改 (CVE-2026-48935)

* nodejs:Node.js WebCrypto:通过对 subtle.encrypt() 的大量输入造成拒绝服务 (CVE-2026-48933)

* nodejs:Node.js:TLS 主机验证中的证书验证绕过 (CVE-2026-48934)

* Node.js:Node.js:主机名匹配不一致导致信任策略绕过 (CVE-2026-48928)

* nodejs:Node.js:通过代理隧道错误处理泄露代理凭据信息 (CVE-2026-48615)

* nodejs:Node.js:TLS 主机名处理和 unicode 点分隔符不匹配导致身份验证绕过 (CVE-2026-48618)

错误修复和增强功能:

* nodejs22:衍合到最新的 Node.js 22 版本 [rhel-10.2.z](JIRA:RHEL-186623)

有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2026:35842

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2476810

https://bugzilla.redhat.com/show_bug.cgi?id=2489980

https://bugzilla.redhat.com/show_bug.cgi?id=2490000

https://bugzilla.redhat.com/show_bug.cgi?id=2490006

https://bugzilla.redhat.com/show_bug.cgi?id=2490008

https://bugzilla.redhat.com/show_bug.cgi?id=2493325

https://bugzilla.redhat.com/show_bug.cgi?id=2493326

https://bugzilla.redhat.com/show_bug.cgi?id=2493329

https://bugzilla.redhat.com/show_bug.cgi?id=2493331

https://bugzilla.redhat.com/show_bug.cgi?id=2493332

https://bugzilla.redhat.com/show_bug.cgi?id=2493333

https://bugzilla.redhat.com/show_bug.cgi?id=2493335

https://bugzilla.redhat.com/show_bug.cgi?id=2493337

https://issues.redhat.com/browse/RHEL-186623

http://www.nessus.org/u?e90aaca0

插件详情

严重性: Medium

ID: 325168

文件名: redhat-RHSA-2026-35842.nasl

版本: 1.1

类型: Local

代理: unix

发布时间: 2026/7/6

最近更新时间: 2026/7/6

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.9

百分位: 96.92

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-48930

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

风险因素: Medium

Base Score: 5.3

Threat Score: 2.1

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2026-42338

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:nodejs, p-cpe:/a:redhat:enterprise_linux:nodejs-devel, p-cpe:/a:redhat:enterprise_linux:nodejs-docs, p-cpe:/a:redhat:enterprise_linux:nodejs-full-i18n, p-cpe:/a:redhat:enterprise_linux:nodejs-libs, p-cpe:/a:redhat:enterprise_linux:nodejs22, p-cpe:/a:redhat:enterprise_linux:nodejs-npm, cpe:/o:redhat:enterprise_linux:10.2

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/7/6

漏洞发布日期: 2026/5/5

参考资料信息

CVE: CVE-2026-11525, CVE-2026-12151, CVE-2026-42338, CVE-2026-48615, CVE-2026-48618, CVE-2026-48619, CVE-2026-48928, CVE-2026-48930, CVE-2026-48933, CVE-2026-48934, CVE-2026-48935, CVE-2026-6733, CVE-2026-9678

CWE: 1286, 170, 209, 279, 289, 295, 770, 79, 940

RHSA: 2026:35842