Comme promis, Node.js a livré le 18 juin des mises à jour de sécurité. Il est fortement conseillé de les installer rapidement pour fixer plusieurs failles. Elles concernent les versions 22.x, 24.x et 26.x. Plusieurs dépendances ont été upgradées : llhttp, nghttp, openssl, undici.

Les principales CVE fixées sont :

- CVE-2026-48933 : overflow sur WebCrypto AES suite à un possible crash dans une entrée de subtle.encrypt dépassant 2 Go

- CVE-2026-48618 : risque de contournement de l'authentification causé par le séparateur . unicode dans le hostname TLS

- CVE-2026-48615 : risque de fuite des proxy credentials si ils sont embarqués 

- CVE-2026-48617 : contournement des permissions dans Permission Model via un process.report.writeReport

- CVE-2026-48619 : possible faille dans le client HTTP/2 si le serveur envoie un nombre illimité de frames ORIGIN

- CVE-2026-48937 : pas de nettoyage des sessions HTTP/2 après un GOAWAY 

- CVE_2026-48928 : mauvaise gestion de la sensibilité à la casse dans le hostname pouvant contourner l'autorisation mtls

- CVE-2026-48934 : vérification de l'identité du host TLS peut être contournée par l'utilisation d'une session déjà utilisée avec un servername différent

Tous les détails : https://nodejs.org/en/blog/vulnerability/june-2026-security-releases