Node.js が一気に塞いだ「TLSホスト名検証バイパス」4種 - 2026年6月の緊急アップデートを読み解く
約12分
2026年6月18日のNode.jsセキュリティリリースは、HIGH 2件を含む12件のCVEを全アクティブライン(22/24/26)で一斉修正しました。中でも目立つのは、ワイルドカード証明書を回避する CVE-2026-48618(Unicodeドット問題)を筆頭にしたTLSホスト名検証バイパスの集中修正です。なぜ「ホスト名を正しく比較する」だけのことがこれほど壊れやすいのか、各CVEの仕組みと、いま実務でやるべきことを整理します。