피드로 돌아가기
Node.js 26.3.1 (Current)
Node.js BlogNode.js Blog
Security

Node.js 26.3.1: High-Risk CVE 3건 포함 보안 취약점 긴급 패치

Node.js 26.3.1 (Current)

2026년 6월 18일1intermediate

Context

런타임 레벨의 메모리 관리 미흡과 TLS/Crypto 모듈의 검증 로직 부재로 인한 보안 취약점 발생. 특히 Unbounded Memory Growth 및 인증 우회 가능성이 있는 고위험군 CVE 식별에 따른 긴급 대응 필요.

Technical Solution

  • HTTP/2 originSet 크기 제한 설정을 통한 Memory Leak 및 DoS 공격 방어
  • TLS Server Identity Check 시 Hostname Normalize 로직 적용으로 인증 무결성 확보
  • WebCrypto Cipher 출력 길이 검증 가드 도입을 통한 메모리 오버플로우 방지
  • Tunnel Error 발생 시 Proxy Credentials 마스킹 처리를 통한 민감 정보 유출 차단
  • DNS/Net 모듈 내 Embedded NUL bytes 거부 로직 구현으로 Hostname 주입 공격 차단
  • Permission 모델 기반 FileHandle utimes 및 Pipe Open/Chmod 권한 제어 강화

- Node.js 런타임 버전 최신화 통한 CVE-2026-48618, 48933 등 고위험 취약점 제거 - HTTP/2 기반 서비스 운영 시 Memory Limit 및 Resource Quota 설정 검토 - 외부 입력 Hostname 처리 시 NUL bytes 포함 여부 및 Normalize 적용 여부 확인 - 로그 시스템 내 Credentials 유출 방지를 위한 Masking 필터 적용 여부 점검

원문 읽기