Vulnérabilité dans NodeJS
Date de publication :
CVE-2020-28502[Score CVSS v3 : 8.1] : Une vulnérabilité concernant les modules xmlhttprequest et xmlhttprequest-ssl de Node.js de NodeJS a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire sur le système en envoyant une entrée spécialement conçue dans xhr.send.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.1
Existence d’un code d’exploitation
Plusieurs PoC de cette vulnérabilité sont disponibles sur les liens suivants :
- https://snyk.io/vuln/SNYK-JS-XMLHTTPREQUESTSSL-1082936
- https://snyk.io/vuln/SNYK-JS-XMLHTTPREQUEST-1082935
- https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1082938
- https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1082937
Composants vulnérables
- xmlhttprequest v1.6.0 et antérieures.
- xmlhttprequest-ssl v1.6.0 et antérieures.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour ces paquets vers la version 1.7.0 :
Solution de contournement
Aucune solution de contournement n’est disponible à l’heure actuelle.