Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un aggiornamento che non lascia spazio a interpretazioni. Il team Node.js ha pubblicato il 24 marzo 2026 una nuova release di sicurezza per il ramo LTS, segnalando la presenza di vulnerabilità in grado di compromettere stabilità e affidabilità dei sistemi.
Non si tratta di un semplice fix marginale: le falle individuate toccano componenti sensibili come TLS, HTTP/2 e Web Crypto, con scenari di attacco che in alcuni casi possono essere sfruttati da remoto senza autenticazione.
La vulnerabilità più seria, CVE-2026-21637, riguarda la gestione degli errori TLS. In particolare la funzione SNICallback non gestiva correttamente alcune eccezioni sincrone. Se un client invia un valore servername inatteso, l’errore non viene intercettato e finisce per interrompere il processo Node.js. Senza filtri, senza fallback.
È uno di quei bug che fanno pensare: possibile che sia sfuggito così a lungo? La correzione è stata semplice, un blocco try catch attorno alla funzione. Ma fino a quel momento, il rischio era reale su più versioni.
Un’altra falla interessante è CVE-2026-21714. Qui si parla di HTTP/2 e di gestione degli errori legati al flow control. Un client malevolo può inviare frame WINDOW_UPDATE costruiti ad hoc e provocare una perdita di memoria progressiva. Non immediata… ma costante. Connessione dopo connessione, il sistema si riempie fino a non reggere più.
E a quel punto? Denial of Service.
La patch introduce una gestione esplicita di questi errori, evitando che si accumulino nel tempo. Maggiori dettagli sono disponibili anche nella release
Non tutte le falle fanno rumore. Alcune lavorano lentamente. CVE-2026-21717 sfrutta collisioni prevedibili nel sistema di hashing di V8. Un input costruito con attenzione può rallentare drasticamente il processo, portando a un classico scenario HashDoS. Poi c’è CVE-2026-21713. Il problema qui è nel confronto HMAC: non avveniva in tempo costante, lasciando spazio a un attacco basato sui tempi di risposta.
Infine i bypass del modello di permessi. Alcune API permettevano di ottenere informazioni sul filesystem anche fuori dai limiti imposti. Non proprio rassicurante. Tutte queste problematiche sono state corrette nelle release ufficiali del progetto Node.js, disponibili nei rispettivi changelog: https://nodejs.org/en/blog/release/v24.14.1/ e https://nodejs.org/en/blog/release/v25.8.2/
Chi espone servizi pubblici, soprattutto via TLS, dovrebbe aggiornare subito. Senza pensarci troppo. Per la community di Red Hot Cyber Questa vicenda conferma una cosa semplice: il problema non è mai la vulnerabilità in sé, ma il tempo che passa prima della patch. E lì, spesso, si gioca tutto.
