Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-48618

6,5 MEDIUM CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft die Prüfung von Hostnamen bei TLS-Verbindungen in Node.js. Ursache ist, dass zwei Komponenten Hostnamen unterschiedlich normalisieren: Die Instanz, die einen Namen auflöst, und die Instanz, die das Zertifikat gegen diesen Namen prüft, gehen mit bestimmten Zeichen nicht einheitlich um – konkret mit einem Unicode-Zeichen, das wie ein Punkt aussieht und als Trennzeichen zwischen Namensbestandteilen fehlinterpretiert wird. Weil beide Seiten den Namen in unterschiedliche Bestandteile zerlegen, weicht die Tiefe ab, bis zu der ein Platzhalter (Wildcard) in einem Zertifikat gelten darf. Dadurch lässt sich die Zertifikatsprüfung austricksen: Ein Zertifikat wird für einen Namen als gültig akzeptiert, für den es eigentlich nicht ausgestellt ist. Ein Angreifer kann so die vorgesehene Sicherheitsgrenze umgehen und die Vertraulichkeit der Verbindung untergraben, etwa indem er sich in eine als gesichert geltende TLS-Verbindung einschleicht. Betroffen sind alle unterstützten Versionslinien von Node.js.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln