Node.js 26.3.1 보안 릴리스 — CVE 11건 패치
요약
Node.js 26.3.1은 순수 보안 릴리스로, TLS·crypto·HTTP/2·Permission Model 등에 걸쳐 High 2건을 포함한 총 11건의 CVE를 수정한다.
Node.js Blog에서 2026년 6월 18일 Node.js 26.3.1(Current) 보안 릴리스를 발표했다. 새 기능 없이 CVE 11건 패치에만 집중한 릴리스다.
무엇이 새로운가
High 등급 두 건이 눈에 띈다. CVE-2026-48618은 TLS에서 서버 신원 검증 시 호스트명을 정규화하지 않던 문제이고, CVE-2026-48933은 WebCrypto 암호화 출력 길이에 대한 가드가 누락된 문제다. Medium 등급으로는 프록시 자격 증명이 터널 에러 메시지에 그대로 노출되는 문제(CVE-2026-48615), HTTP/2 originSet이 무한히 커질 수 있는 메모리 이슈(CVE-2026-48619), SNI 컨텍스트 매칭이 대소문자를 구분하던 버그(CVE-2026-48928), 호스트명에 NUL 바이트가 포함되는 것을 허용하던 문제(CVE-2026-48930), TLS 세션 재사용 시 인증된 호스트에 바인딩하지 않던 문제(CVE-2026-48934) 등이 포함된다. Low 등급 4건은 모두 Permission Model과 http.Agent 관련이다. 의존성 측면에서는 OpenSSL 3.5.7, llhttp 9.4.2, undici 8.5.0으로 업데이트됐다.
설정 파일에 어떤 의미인가
이번 릴리스는 기능 변경이 없으므로 tsconfig.json, .node-version, package.json 등 프로젝트 설정 파일을 수정할 필요는 없다. 다만 Node.js Permission Model(--experimental-permission)을 사용하는 환경이라면 주의가 필요하다. process.chdir과 FileHandle.utimes, 파이프 open/chmod 등에서 권한 검사가 강화됐기 때문에, 기존에 허용되던 동작이 이제 차단될 수 있다. Permission Model 플래그를 CI 스크립트나 Docker 엔트리포인트에 넣어 두었다면 배포 전 테스트를 돌려 보는 것이 좋다. TLS SNI 매칭이 대소문자를 무시하도록 수정된 점도 리버스 프록시 설정에서 인증서 컨텍스트를 대문자 호스트명으로 등록해 뒀던 드문 케이스에 영향을 줄 수 있다. Breaking change로 공식 분류된 항목은 없다.
다음 단계 제안
보안 릴리스이므로 프로덕션 환경은 빠르게 26.3.1로 올리는 것을 권장한다. .node-version 또는 .nvmrc 파일의 버전을 갱신하고, CI 매트릭스에도 반영하자. 새 Node.js 프로젝트 설정이 필요하다면 Node.js 설정 생성을 활용할 수 있다. 원문의 CVE별 커밋 링크에서 각 패치의 구체적인 변경 범위를 확인할 수 있으니, 영향 평가가 필요하면 직접 살펴보길 바란다.
원문 전체 보기: Node.js 26.3.1 (Current) (Node.js Blog)
Node.js 설정 파일이 필요하신가요?
ConfigDeck에서 최신 설정을 몇 초 만에 생성하세요.
다른 Node.js 소식
Node.js 26.5.0 릴리스: 텍스트 임포트 플래그, 이벤트 루프 지연 샘플링 등 추가
Node.js 26.5.0(Current)이 릴리스되었다. ESM에 --experimental-import-text 플래그가 추가되고, perf_hooks에 이벤트 루프 반복당 지연 샘플링 기능이 들어왔으며, 애드온 임포트 지원이 기본 활성화되었다.
Node.js 26.4.0 릴리스 — VFS 서브시스템, 패키지 맵, TLS 인증서 압축 등 주요 기능 추가
Node.js 26.4.0(Current)이 다수의 SEMVER-MINOR 변경과 함께 릴리스되었다. VFS 서브시스템 신설, 패키지 맵 구현, TLS 인증서 압축 옵션 등 설정과 런타임 양쪽에 영향을 줄 수 있는 기능이 포함되어 있다.
Node.js 24.18.0 'Krypton' LTS 릴리스 — 암호화 강화와 Buffer 기본값 변경
Node.js 24의 첫 LTS 릴리스로, Buffer.poolSize 기본값 증가, Web Cryptography 알고리즘 추가, HTTP 1xx 응답 전송 API 등 여러 SEMVER-MINOR 변경이 포함됐다.