Node.js: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

In Node.js wurden mehrere Sicherheitslücken bekannt, die Angreifern unter bestimmten Voraussetzungen ermöglichen, betroffene Systeme zum Absturz zu bringen oder in einen nicht verfügbaren Zustand zu versetzen. Betroffen sind Systeme unter Windows, Linux und macOS, auf denen Node.js als Laufzeitumgebung eingesetzt wird.

Risikobewertung: Die Risikostufe wird als mittel eingestuft. Die kritischste der insgesamt zwölf Schwachstellen (CVE-2026-48937, CVSS 5.3) erlaubt einen Denial-of-Service-Angriff aus der Ferne – also ohne direkten Zugang zum System – und erfordert keine Anmeldung. Das bedeutet: Öffentlich erreichbare Node.js-Dienste sind grundsätzlich angreifbar. Die weiteren Schwachstellen sind deutlich schwerer auszunutzen, da sie lokalen Zugriff mit erhöhten Rechten voraussetzen. Aktuell sind keine aktiven Angriffe bekannt.

Was ist zu tun?

  • Node.js auf Version 22.23.0 (LTS) oder die jeweils aktuelle LTS-Version aktualisieren.
  • Prüfen, ob Node.js-Dienste im eigenen Netzwerk oder über das Internet öffentlich erreichbar sind.
  • Falls eine sofortige Aktualisierung nicht möglich ist, den Netzwerkzugang zu betroffenen Diensten vorübergehend einschränken.
  • Die Aktualisierung sollte innerhalb von 30 Tagen erfolgen.

Node.js ist eine weit verbreitete JavaScript-Laufzeitumgebung, die häufig für Web-Anwendungen, APIs und interne Tools eingesetzt wird. Auch in vielen Entwicklungsumgebungen ist sie standardmäßig installiert, was die Angriffsfläche in Unternehmen größer macht als auf den ersten Blick erkennbar.

Quelle: DFN-CERT Advisory 2026-2735 · Risikostufe: MITTEL · Generiert am 20.06.2026

Tags :

Related Posts

Sicherheitslücke in node-pbkdf2 gefährdet Node.js-Authentifizierung

In der kryptografischen Node.js-Bibliothek node-pbkdf2 wurde eine Schwachstelle (CVE-2025-6545) entdeckt, die es Angreifern ermöglicht, Sicherheitsvorkehrungen ohne besondere Berechtigungen aus der Ferne zu umgehen.

Read More

Sicherheitslücke in ldns ermöglicht DNS-Spoofing auf Linux-Systemen

In der DNS-Bibliothek ldns wurde eine Schwachstelle (CVE-2026-10846) entdeckt, die es Angreifern ermöglicht, ohne Authentifizierung gefälschte DNS-Informationen einzuschleusen. Betroffen sind unter anderem Ubuntu 22.04 LTS und SLES 15.

Read More

Kritische Schwachstellen in Thunderbird: Update dringend empfohlen

In Mozilla Thunderbird wurden mehrere schwerwiegende Sicherheitslücken entdeckt, die unter anderem die Ausführung von Schadcode aus der Ferne und die Eskalation von Benutzerrechten ermöglichen. Betroffen sind Installationen auf verschiedenen Plattformen, darunter Linux-Systeme wie Debian 12.

Read More