情报动态 1

安全 🔴

Node.js TLS主机名嵌入空字符绕过验证漏洞 (CVE-2026-48930)

Node.js在TLS主机名处理中存在嵌入式空字符(NUL)导致C字符串截断的漏洞,攻击者可利用此缺陷实现静默的权威重绑定,绕过TLS证书验证。影响所有受支持的Node.js版本。