O Node.js lançou atualizações de segurança para corrigir 12 vulnerabilidades em versões ainda suportadas da plataforma, incluindo duas falhas de alta gravidade que podem afetar autenticação e disponibilidade de aplicações. As correções foram liberadas em 18 de junho de 2026 e atingem as linhas Node.js 22.x, 24.x e 26.x. As versões corrigidas são 22.23.0, 24.17.0 e 26.3.1.
A falha mais sensível é a CVE-2026-48618, relacionada à forma como o Node.js verifica nomes de domínio em conexões TLS. Em determinadas configurações, o problema poderia permitir contornar verificações baseadas em certificados e comprometer a confiança em conexões seguras.
Outra vulnerabilidade de alta gravidade, CVE-2026-48933, afeta a API WebCrypto. A exploração pode causar a queda de processos remotos quando a aplicação lida com entradas muito grandes em operações de criptografia, resultando em negação de serviço.
A atualização também inclui melhorias em componentes de terceiros usados pelo Node.js, como bibliotecas relacionadas a HTTP, HTTP/2, OpenSSL e cliente web. Essas dependências são parte importante da segurança de aplicações modernas.
Administradores e desenvolvedores devem atualizar os ambientes de produção o quanto antes, especialmente serviços expostos à internet, APIs e sistemas que dependem de validação rigorosa de certificados. Versões sem suporte não devem ser usadas em produção, pois permanecem vulneráveis e não recebem correções regulares.
