大津です。 0.6.17, 0.7.8より前の Node.js で HTTPヘッダを解析する際にバグがあり、第 3者にHTTPリクエストの情報が漏れてしまう脆弱性が報告されました。
http://blog.nodejs.org/2012/05/07/http-server-security-vulnerability-please-upgrade-to-0-6-17/ 悪意のあるユーザが細工したヘッダをHTTPリクエストを送信すると、続けて接続 したユーザのHTTPリクエスト情報を抜くことができます。理論上タイミングに よっては第3者のCookie 、認証ヘッダ、フォーム情報などを盗めます。 exploit コードも上記ブログで公開されています。 該当するバージョンの Node をお使いの方は、バージョンアップを検討して下さ い。(なお 0.4系は該当しないようです。)
