Vulnérabilité dans l’environnement JavaScript NodeJS
Date de publication :
CVE-2020-8265[Score CVSS v3 : 8.1] : Cette vulnérabilité se traduit par une erreur de type use-after-free due à une implémentation incorrecte du protocole TLS. Lors de l’envoi d’une requête à une session TLS, la méthode node::StreamBase::Write appelle la méthode node::TLSWrap::DoWrite avec un objet de type WriteWrap en premier argument. Si la méthode DoWrite ne retourne pas d’erreur, l’objet est renvoyé à l’émetteur dans une structure de type StreamWriteResult. Un attaquant distant et non-authentifié peut potentiellement manipuler cet objet, d’une manière non-spécifiée, afin de provoquer une erreur de type use-after-free et de perpétrer un déni de service voire une injection de code arbitraire et une exposition de données sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Injection de code arbitraire
Exposition de données sensibles
Criticité
Score CVSS v3 : 8.1
Existence d’un code d’exploitation
Une preuve de concept d’exploitation de la vulnérabilité est disponible ici :
https://hackerone.com/reports/988103
Composants vulnérables
Les versions de NodeJS 15.x, 14.x, 12.x, 10.x sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour NodeJS vers une des versions suivantes :
Solution de contournement
Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.