Node.js Blog

Node.js 22.23.0 (LTS)

6.0内容质量

TL;DR · AI 摘要

Node.js 22.23.0 LTS 版本主要为安全更新,修复了多个高危和中危漏洞。

核心要点

  • Node.js 22.23.0 LTS 版本修复了多个高危漏洞,包括 CVE-2026-48618 和 CVE-2026-48933。
  • 该版本更新了多个依赖库,如 nghttp2 和 llhttp,以提高兼容性和安全性。
  • 部分漏洞修复涉及 TLS、HTTP/2 和 WebCrypto 等关键模块,建议用户及时升级。

结构提纲

按章节快速跳转。

  1. Node.js 22.23.0 LTS 版本发布,主要为安全更新。

  2. 该版本修复了多个高危和中危漏洞,包括 CVE-2026-48618 和 CVE-2026-48933。

  3. 版本更新了多个依赖库,如 nghttp2llhttp 和 undici,以提高兼容性和安全性。

  4. 修复了 TLS、HTTP/2 和 WebCrypto 等关键模块中的漏洞,建议用户及时升级。

思维导图

用一张图看清主题之间的关系。

查看大纲文本(无障碍 / 无 JS 友好)
  • Node.js 22.23.0 LTS
    • 安全更新
      • 修复高危漏洞(如 CVE-2026-48618)
      • 修复中危漏洞(如 CVE-2026-48933)
    • 依赖库更新
      • nghttp2 更新至 1.69.0
      • llhttp 更新至 9.4.2
    • 关键模块修复
      • TLS 模块修复
      • HTTP/2 模块修复
      • WebCrypto 模块修复

金句 / Highlights

值得收藏与分享的关键句。

  • Node.js 22.23.0 LTS 版本修复了多个高危和中危漏洞,包括 CVE-2026-48618 和 CVE-2026-48933。

    Notable Changes

    ⬇︎ 下载 PNG𝕏 分享到 X
  • 该版本更新了多个依赖库,如 nghttp2 和 llhttp,以提高兼容性和安全性。

    Commits

    ⬇︎ 下载 PNG𝕏 分享到 X
  • 部分漏洞修复涉及 TLS、HTTP/2 和 WebCrypto 等关键模块,建议用户及时升级。

    Notable Changes

    ⬇︎ 下载 PNG𝕏 分享到 X
#Node.js#安全更新#LTS#漏洞修复
打开原文

Node.js — Node.js 22.23.0 (LTS)

Node.js 22.23.0 (LTS)

ADH

Antoine du Hamel

Node.js 22.23.0 (LTS)

2026-06-18, 版本 22.23.0 'Jod' (LTS), @aduh95

这是一个安全更新。

重要变更

  • (CVE-2026-48618) tls: 对服务器身份验证检查进行主机名标准化 (Matteo Collina) – 高
  • (CVE-2026-48933) crypto: 限制 WebCrypto 加密输出长度 (Filip Skokan) – 高
  • (CVE-2026-48937) deps: 修复与最新 nghttp2 的集成问题 – 中
  • (CVE-2026-48930) dns,net: 拒绝包含嵌入 NUL 字节的主机名 (Matteo Collina) – 中
  • (CVE-2026-48619) http2: 限制 originSet 大小以防止无限制内存增长 (Matteo Collina) – 中
  • (CVE-2026-48615) lib,test: 在隧道错误中隐藏代理凭据 (Matteo Collina) – 中
  • (CVE-2026-48934) tls: 将可重用会话绑定到已认证的主机 (Matteo Collina) – 中
  • (CVE-2026-48928) tls: 修复 SNI 上下文匹配的大小写敏感问题 (Matteo Collina) – 中
  • (CVE-2026-48617) permission: 在 writereport 上处理 process.chdir (RafaelGSS) – 低
  • (CVE-2026-48931) http: 修复 http.Agent 中的响应队列中毒问题 (Matteo Collina) – 低
  • (CVE-2026-48935) permission: 在权限模型中禁用 FileHandle utimes (RafaelGSS) – 低

提交记录

  • [ 38b4c5ed51 ] - (CVE-2026-48933) crypto : 限制 WebCrypto 加密输出长度 (Filip Skokan) nodejs-private/node-private#878
  • [ ad8a10c1bb ] - deps : 将 llhttp 更新到 9.4.2 (Antoine du Hamel) nodejs-private/node-private#890
  • [ ca825a87cc ] - deps : 将 undici 更新到 6.27.0 (aduh95) #63711
  • [ a1a5bb9683 ] - (CVE-2026-48937) deps : 修复与最新 nghttp2 的集成问题 (Tim Perry) #62891
  • [ 0f48583512 ] - (SEMVER-MAJOR) deps : 将 nghttp2 更新到 1.69.0 (Node.js GitHub Bot) #62891
  • [ 38c869fc05 ] - deps : 将 nghttp2 更新到 1.68.0 (nodejs-github-bot) #61136
  • [ 290667c84f ] - deps : 将 nghttp2 更新到 1.67.1 (nodejs-github-bot) #59790
  • [ c9f3da76aa ] - deps : 将 nghttp2 更新到 1.66.0 (Node.js GitHub Bot) #58786
  • [ 60890be563 ] - deps : 将 nghttp2 更新到 1.65.0 (Node.js GitHub Bot) #57269
  • [ 5024c7d5d8 ] - deps : 为 openssl-3.5.7 更新 archs 文件 (Node.js GitHub Bot) #63820
  • [ 7f4eb5af2e ] - deps : 将 openssl 源代码升级到 openssl-3.5.7 (Node.js GitHub Bot) #63820
  • [ ebb4ec78a8 ] - deps : 修复 OpenSSL 中 AIX 的隐式声明 (Abdirahim Musse) #62656
  • [ 5763d40826 ] - deps : 将 llhttp 更新到 9.4.1 (Node.js GitHub Bot) #63045
  • [ c551a51d0c ] - (CVE-2026-48930) dns,net : 拒绝包含嵌入 NUL 字节的主机名 (Matteo Collina) nodejs-private/node-private#868
  • [ 0a22d40180 ] - (CVE-2026-48931) http : 修复 http.Agent 中的响应队列中毒问题 (Matteo Collina) nodejs-private/node-private#846
  • [ c79968e108 ] - (CVE-2026-48619) http2 : 限制 originSet 大小以防止无限制内存增长 (Matteo Collina) nodejs-private/node-private#855
  • [ 0c37bff2ff ] - http2 : 修复 DEP0194 消息 (KaKa) #58669
  • [ ea5dc6b529 ] - (SEMVER-MAJOR) http2 : 移除对优先级信号的支持 (Matteo Collina) #58293
  • [ 9b6af26132 ] - (CVE-2026-48615) lib,test : 在隧道错误中隐藏代理凭据 (Matteo Collina) nodejs-private/node-private#867
  • [ 28dcd38864 ] - (CVE-2026-48935) permission : 在权限模型中禁用 FileHandle utimes (RafaelGSS) nodejs-private/node-private#873
  • [ 2f62693801 ] - (CVE-2026-48617) permission : 在 writereport 上处理 process.chdir (RafaelGSS) nodejs-private/node-private#870
  • [ 1662a3ea09 ] - 测试:添加会话重用主机验证回归测试 (Matteo Collina) nodejs-private/node-private#854
  • [ 718d5d0e2c ] - 测试:在 armv7 上跳过 test-fs-utimes-y2K38 测试 (Richard Lau) #63836
  • [ 041185b61f ] - 测试:在 AIX 7.3 上跳过 test-cluster-dgram-reuse 测试 (Stewart X Addison) #62238
  • [ fd890ba01d ] - (CVE-2026-48934) TLS:将可重用会话绑定到已认证的主机 (Matteo Collina) nodejs-private/node-private#854
  • [ 39d1d09684 ] - (CVE-2026-48928) TLS:修复 SNI 上下文匹配的大小写敏感问题 (Matteo Collina) nodejs-private/node-private#857
  • [ 2197a47144 ] - (CVE-2026-48618) TLS:规范化用于服务器身份检查的主机名 (Matteo Collina) nodejs-private/node-private#869

Windows 32 位安装程序:https://nodejs.org/dist/v22.23.0/node-v22.23.0-x86.msi Windows 64 位安装程序:https://nodejs.org/dist/v22.23.0/node-v22.23.0-x64.msi Windows ARM 64 位安装程序:https://nodejs.org/dist/v22.23.0/node-v22.23.0-arm64.msi Windows 32 位二进制文件:https://nodejs.org/dist/v22.23.0/win-x86/node.exe Windows 64 位二进制文件:https://nodejs.org/dist/v22.23.0/win-x64/node.exe Windows ARM 64 位二进制文件:https://nodejs.org/dist/v22.23.0/win-arm64/node.exe macOS 64 位安装程序:https://nodejs.org/dist/v22.23.0/node-v22.23.0.pkg macOS 苹果硅 64 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-darwin-arm64.tar.gz macOS 英特尔 64 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-darwin-x64.tar.gz Linux 64 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-linux-x64.tar.xz Linux PPC LE 64 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-linux-ppc64le.tar.xz Linux s390x 64 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-linux-s390x.tar.xz AIX 64 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-aix-ppc64.tar.gz ARMv7 32 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-linux-armv7l.tar.xz ARMv8 64 位二进制文件:https://nodejs.org/dist/v22.23.0/node-v22.23.0-linux-arm64.tar.xz 源代码:https://nodejs.org/dist/v22.23.0/node-v22.23.0.tar.gz 其他发布文件:https://nodejs.org/dist/v22.23.0/ 文档:https://nodejs.org/docs/v22.23.0/api/

SHASUMS

code
-----BEGIN
PGP
SIGNED
MESSAGE-----
哈希值:
SHA256
5c595ef33e1b1dcd48128690ab599cf246b51abed470928706edaf56f1d04248
node-v22.23.0-aix-ppc64.tar.gz
d963392c08a9d0f7f1458410a43c8c0e7dd78712f01b5ffa561f00a3044a47ff
node-v22.23.0-arm64.msi
e0f383a215dd3093de6d2c74f87056dc2306a2e09ad494cbffdba28f89046f56
node-v22.23.0-darwin-arm64.tar.gz
69a741a8938e3efbd7098ca1681a179f771bc9bbf733a799e9ed81949a602f73
node-v22.23.0-darwin-arm64.tar.xz
dc2ccab261fd70c347e4cc52085d8d226f471ccba1fc2a7252283949b31ca9f9
node-v22.23.0-darwin-x64.tar.gz
c339a9bc031a98bac0dba90f57370ac5ae68e4549045c8f51e740f375a0b8799
node-v22.23.0-darwin-x64.tar.xz
ac07673009b92d70f3d842df28204e92785234bae6b4d5785f63fbca8408fc69
node-v22.23.0-headers.tar.gz
b0a0a71751aa17ac9190a47c34d1439a2118493dcc323c5eae27fb691b8446d9
node-v22.23.0-headers.tar.xz
0c96aa074abd109e0b5da8d10202a9bbcea9bcf9ddb587b20944f71b8f21f8c8
node-v22.23.0-linux-arm64.tar.gz
4018815ac1bed4f18208901bbde524fee881253b591ee7bc952660e69bd057af
node-v22.23.0-linux-arm64.tar.xz
2a6ac877b2381711c55178052a6f481171e0964c2f8d33d0cfe36d8e35f1c2c0
node-v22.23.0-linux-armv7l.tar.gz
6f983135f5bbf1bf017686c93bbabcb616473578f75ef43c773c1556b404a50a
node-v22.23.0-linux-armv7l.tar.xz
740fa84ba1d3e7f5d3155f9f7b71e2189d2fbba119df0c0c59533dc7e415efe1
node-v22.23.0-linux-ppc64le.tar.gz
864760dde36a03bf0da8f74b511c41a31adae4f50284a20066518775269539aa
node-v22.23.0-linux-ppc64le.tar.xz
274c8946cd95bd3b7b586c1bfb35de315836f9e8863e29dd264decc73e652b8a
node-v22.23.0-linux-s390x.tar.gz
8c5ba195dff6c11a292ffbe199931c7b52d3f233d25fa908718b99d0e0f9d09d
node-v22.

8b4369dd36679fcaf7146d6627d1ca1c1ea04bf933f91f9c61630d158df82bc0
win-x86/node.exe
66949ba371a159f5e3626f6ce960f85ab6bcdd237eafcdfbc11d1377a2767652
win-x86/node.lib
a52afc61556fee95d22f0a401a761714d585f5596b7cf92d175a3f238b08bdba
win-x86/node_pdb.7z
8df46485e8d327e66eea65538845bdf31350ed76d921c6512ec6fa044a814a7e
win-x86/node_pdb.zip
-----BEGIN
PGP
SIGNATURE-----
iHUEARYIAB0WIQRb6KP2yKXAHRBsCtggsaOQsWjTVgUCajN0uQAKCRAgsaOQsWjT
VrCOAQCGN/ZUCGhmojChsyAmHwY6dkE0C6v+pkT+R2Z0gi6M4AD9HGnS7wyeo2qY
+2RqcJ1iGGuYD7/DPIY1emFpLja9hws=
=nIm4
-----END
PGP
SIGNATURE-----

上一版本

Node.js 24.17.0 (LTS)

下一版本

Node.js 26.3.0 (当前版本)