Vulnérabilités dans Node.js

Date de publication :

Plusieurs vulnérabilités, dont deux critiques, ont été découvertes dans Node.js. Elles peuvent permettre à un attaquant de provoquer un détournement de session utilisateur ou une exécution de code arbitraire.

CVE-2020-8252 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “débordement de tampon” a été découverte dans l’implémentation de realpath dans le composant libuv utilisé dans Node.js. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance.

CVE-2020-8201 [Score CVSS v3 : 9.1] : Une vulnérabilité de type “détournement de requêtes HTTP” a été découverte dans Node.js. Elle peut permettre à un attaquant de provoquer un détournement de session utilisateur. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire à distance
  • Détournement de session utilisateur

Criticité

  • Score CVSS v3 : 9.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • Node.js versions 10.x avant la 10.22.1
  • Node.js versions 12.x avant la 12.18.4
  • Node.js versions 14.x avant la 14.11.0

CVE

  • CVE-2020-15095 
  • CVE-2020-8201 
  • CVE-2020-8252

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Node.js vers des versions non vulnérables

Solution de contournement

  • Aucune solution de contournement

Liens