Vulnérabilités dans l’environnement JavaScript NodeJS

CVE-2020-28477 [Score CVSS v3 : 7.5] : Une vulnérabilité au niveau d’un prototype Javascript au sein du module immer de NodeJs a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service en envoyant des requêtes spécifiques à une architecture vulnérable.

CVE-2020-28478 [Score CVSS v3 : 7.5] : Une vulnérabilité au niveau d’un prototype Javascript au sein du module GSAP de NodeJs a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service en envoyant des requêtes spécifiques à une architecture vulnérable.

Informations
+

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Toutes les versions du module Javascript immer sont impactés par cette vulnérabilité.

  • GSAP <v3.6.0

CVE

 


Recommandations
+

Mise en place de correctifs de sécurité

  • Aucun correctif de sécurité n’a encore été proposé pour le module immer.

  • Mettre à jour le module GSAP vers la version 3.6.0.

Solution de contournement

Plusieurs moyens de réduire les risques liés à la CVE-2020-28477 sont disponibles sur le lien suivant, dans le section “How to prevent” :

Plusieurs moyens de réduire les risques liés à la CVE-2020-28478 sont disponibles sur le lien suivant, dans le section “How to prevent” :