Vulnérabilité dans NodeJS

Date de publication : 29/09/2022

CVE-2020-28502[Score CVSS v3 : 8.1] : Une vulnérabilité concernant les modules xmlhttprequest et xmlhttprequest-ssl de Node.js de NodeJS a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire sur le système en envoyant une entrée spécialement conçue dans xhr.send.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Criticité

Score CVSS v3 : 8.1

Existence d’un code d’exploitation

Plusieurs PoC de cette vulnérabilité sont disponibles sur les liens suivants :

https://snyk.io/vuln/SNYK-JS-XMLHTTPREQUESTSSL-1082936

https://snyk.io/vuln/SNYK-JS-XMLHTTPREQUEST-1082935

https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1082938

https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1082937

Composants vulnérables

xmlhttprequest v1.6.0 et antérieures.

xmlhttprequest-ssl v1.6.0 et antérieures.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour ces paquets vers la version 1.7.0 :

Solution de contournement

Aucune solution de contournement n’est disponible à l’heure actuelle.

Liens

Avis de sécurité IBM X-Force - CVE-2020-28502