Die Schwachstelle betrifft die Prüfung von Hostnamen bei TLS-Verbindungen in Node.js. Ursache ist, dass zwei Komponenten Hostnamen unterschiedlich normalisieren: Die Instanz, die einen Namen auflöst, und die Instanz, die das Zertifikat gegen diesen Namen prüft, gehen mit bestimmten Zeichen nicht einheitlich um – konkret mit einem Unicode-Zeichen, das wie ein Punkt aussieht und als Trennzeichen zwischen Namensbestandteilen fehlinterpretiert wird. Weil beide Seiten den Namen in unterschiedliche Bestandteile zerlegen, weicht die Tiefe ab, bis zu der ein Platzhalter (Wildcard) in einem Zertifikat gelten darf. Dadurch lässt sich die Zertifikatsprüfung austricksen: Ein Zertifikat wird für einen Namen als gültig akzeptiert, für den es eigentlich nicht ausgestellt ist. Ein Angreifer kann so die vorgesehene Sicherheitsgrenze umgehen und die Vertraulichkeit der Verbindung untergraben, etwa indem er sich in eine als gesichert geltende TLS-Verbindung einschleicht. Betroffen sind alle unterstützten Versionslinien von Node.js.
CVE-2026-48618
6,5
MEDIUM
CVSS Basis-Score
Beschreibung