Vulnérabilités dans l’environnement JavaScript NodeJS

Date de publication :

CVE-2020-28477[Score CVSS v3 : 7.5] : Une vulnérabilité au niveau d’un prototype Javascript au sein du module immer de NodeJs a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service en envoyant des requêtes spécifiques à une architecture vulnérable.

CVE-2020-28478 [Score CVSS v3 : 7.5] : Une vulnérabilité au niveau d’un prototype Javascript au sein du module GSAP de NodeJs a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service en envoyant des requêtes spécifiques à une architecture vulnérable.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Déni de service

Criticité

    Score CVSS v3 : 7.5

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

    Toutes les versions du module Javascript immer sont impactés par cette vulnérabilité.

    GSAP <v3.6.0

CVE

 

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Aucun correctif de sécurité n’a encore été proposé pour le module immer.

  • Mettre à jour le module GSAP vers la version 3.6.0.

Solution de contournement

Plusieurs moyens de réduire les risques liés à la CVE-2020-28477 sont disponibles sur le lien suivant, dans le section “How to prevent” :

Plusieurs moyens de réduire les risques liés à la CVE-2020-28478 sont disponibles sur le lien suivant, dans le section “How to prevent” :

Liens