Vulnérabilités dans NodeJS
Date de publication :
CVE-2021-27290 [Score CVSS v3 : 7.5]
Une vulnérabilité au sein du module de vérification d’intégrité des fichiers traités ssri de NodeJS a été corrigée. Cette faille est due au fait que le logiciel vérifie l’intégrité des fichiers traités en utilisant une expression régulière avec, dans certains cas, une très grande complexité temporelle. Un attaquant distant et non authentifié peut être en mesure de provoquer un déni de service en utilisant des fichiers spécifiquement conçu.
CVE-2021-33502 [Score CVSS v3 : 7.5]
Le paquet normalize-url pour Node.js présente un problème de déni de service par expression régulière.Un attaquant distant et non authentifié peut provoquer cette vulnérabilité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Scores CVSS v3 : 7.5 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- ssri de version 5.2.2 à 8.0.0
- normalize-url versions 4.x antérieures à 4.5.1
- normalize-url versions 5.x antérieures à 5.3.1
- normalize-url versions 6.x antérieures à 6.0.1
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour ssri vers la version 8.0.1 ou ultérieure.
Mettre à jour normalize-url vers une des versions suivantes :
- 4.5.1
- 5.3.1
- 6.0.1
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.