Vulnérabilités dans NodeJS

CVE-2021-27290 [Score CVSS v3 : 7.5] : Une vulnérabilité au sein du module de vérification d’intégrité des fichiers traités ssri de NodeJS a été corrigée. Cette faille est due au fait que le logiciel vérifie l’intégrité des fichiers traités en utilisant une expression régulière avec, dans certains cas, une très grande complexité temporelle. Un attaquant distant et non authentifié peut être en mesure de provoquer un déni de service en utilisant des fichiers spécifiquement conçu.

CVE-2021-33502 [Score CVSS v3 : 7.5] : Le paquet normalize-url pour Node.js présente un problème de déni de service par expression régulière.Un attaquant distant et non authentifié peut provoquer cette vulnérabilité.

Informations
+

Risques

  • Déni de service

Criticité

  • Scores CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • ssri de version 5.2.2 à 8.0.0
  • normalize-url versions 4.x antérieures à 4.5.1
  • normalize-url versions 5.x antérieures à 5.3.1 
  • normalize-url versions 6.x antérieures à 6.0.1

CVE


Recommandations
+

Mise en place de correctifs de sécurité

Mettre à jour ssri vers la version 8.0.1 ou ultérieure.

Mettre à jour normalize-url vers une des versions suivantes :

  • 4.5.1
  • 5.3.1
  • 6.0.1

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.