Vulnerabilidad en node de nodejs (CVE-2026-21710)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/03/2026

Última modificación:

01/04/2026

Descripción

Un fallo en el manejo de solicitudes HTTP de Node.js provoca un &#39;TypeError&#39; no capturado cuando se recibe una solicitud con un encabezado llamado &#39;__proto__&#39; y la aplicación accede a &#39;req.headersDistinct&#39;.<br /> <br /> Cuando esto ocurre, &#39;dest["__proto__"]&#39; se resuelve como &#39;Object.prototype&#39; en lugar de &#39;undefined&#39;, lo que provoca que se llame a &#39;.push()&#39; en un no-array. Esta excepción se lanza sincrónicamente dentro de un accesor de propiedad y no puede ser interceptada por los oyentes de eventos &#39;error&#39;, lo que significa que no puede ser manejada sin envolver cada acceso a &#39;req.headersDistinct&#39; en un &#39;try/catch&#39;.<br /> <br /> * Esta vulnerabilidad afecta a todos los servidores HTTP de Node.js en 20.x, 22.x, 24.x y v25.x

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://nodejs.org/en/blog/vulnerability/march-2026-security-releases