В популярной программной платформе Node.js выявлена новая критическая уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-01353. Уязвимость, связанная с обходом модели разрешений через непроверенные подключения Unix Domain Socket (UDS), получила идентификатор CVE-2026-21636. Она затрагивает версии Node.js с 25.0.0 по 25.3.0 и позволяет удаленному злоумышленнику повысить привилегии и выполнить произвольный код на целевой системе.
Детали уязвимости
Согласно данным, опубликованным фондом Node.js Foundation, ошибка классифицируется как "Неправильный контроль доступа" (CWE-284) и относится к уязвимостям архитектуры. Основной вектор атаки (CVSS) оценивается как максимально критический. В частности, базовая оценка по шкале CVSS 2.0 составляет 10.0, а по более современной CVSS 3.1 - также 10.0. Следовательно, уязвимость не требует от атакующего ни предварительной аутентификации, ни взаимодействия с пользователем, что значительно упрощает потенциальную эксплуатацию.
Эксперты по кибербезопасности отмечают, что суть проблемы заключается в недостатках контроля доступа в механизме безопасности Node.js. Конкретно, модель разрешений (Permission Model), призванная ограничивать возможности приложений, может быть обойдена через специально сконфигурированные подключения к Unix-сокетам (Unix Domain Socket, UDS). В результате злоумышленник получает возможность выйти за пределы предназначенных "песочниц" и выполнить произвольные команды с высокими привилегиями.
Учитывая повсеместное использование Node.js для создания серверных приложений, API и инструментов сборки, потенциальный масштаб воздействия оценивается как высокий. Уязвимость может быть использована для полного захвата контроля над сервером, кражи конфиденциальных данных или развертывания вредоносного ПО, такого как программы-вымогатели (ransomware). При этом наличие работающего эксплойта в открытом доступе на момент публикации пресс-релиза уточняется.
Важно подчеркнуть, что разработчики Node.js уже отреагировали на угрозу. Уязвимость была подтверждена и устранена производителем. Соответственно, основной и единственной рекомендуемой мерой защиты является немедленное обновление программного обеспечения до актуальной, защищенной версии. Все детали и инструкции по обновлению опубликованы в официальном блоге безопасности Node.js.
Команда сопровождения Node.js выпустила патчи в рамках обновлений безопасности. Таким образом, всем организациям и разработчикам, использующим уязвимые версии (25.0.0 - 25.3.0), необходимо проверить свои системы и выполнить обновление в приоритетном порядке.
В текущем контексте, когда скорость реакции на уязвимости становится критическим фактором, оперативное распространение информации и применение исправлений являются ключевыми шагами для снижения рисков. Администраторам также рекомендуется мониторить логи и сетевую активность на предмет любых подозрительных действий, которые могут указывать на попытки эксплуатации данной уязвимости. В целом, данный случай наглядно демонстрирует важность строгой настройки моделей безопасности даже в зрелых и широко распространенных платформах.
Ссылки
- https://bdu.fstec.ru/vul/2026-01353
- https://www.cve.org/CVERecord?id=CVE-2026-21636
- https://nodejs.org/en/blog/vulnerability/december-2025-security-releases#nodejs-permission-model-bypass-via-unchecked-unix-domain-socket-connections-uds-cve-2026-21636---medium
