Vulnérabilités dans Node.js
Date de publication :
Plusieurs vulnérabilités critiques et importantes ont été découvertes dans Node.js, un environnement d’exécution pour JavaScript. Elles peuvent permettre à un attaquant distant d’effectuer un déni de service, une exécution de code arbitraire et un contournement de la politique de sécurité en cas d’exploitation réussie.
CVE-2019-15605 [Score CVSS v3 : 9.8] : Une vulnérabilité d’interprétation incorrecte de requêtes HTTP a été découverte dans Node.js. En utilisant une requête ayant un entête « transfer-encoding » incorrect, un attaquant peut délivrer une charge utile malveillante vers un système vulnérable.
CVE-2019-15606 [Score CVSS v3 : 9.8] : Une vulnérabilité due à une validation incorrecte d’entrées peut permettre à un attaquant de contourner une politique de sécurité. Dans les entêtes HTTP, si l’espace optionnel est inclus, il est possible de contourner les autorisations basées sur la comparaison des valeurs d’entêtes.
CVE-2019-15604 [Score CVSS v3 : 7.5] : Une validation incorrecte de certificats dans Node.js peut permettre à un attaquant de causer un déni de service en envoyant un certificat X.509 spécialement forgé.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire
Déni de service
Contournement d’autorisations
Criticité
-
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
-
Node.js antérieur à la version v10.19.0 (LTS)
Node.js antérieur à la version v12.15.0 (LTS)
Node.js antérieur à la version v13.8.0 (LTS)
CVE
-
CVE-2019-15604
CVE-2019-15605
CVE-2019-15606
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Node.js vers une version non vulnérable (v10.19.0, v12.15.0 ou v13.8.0)
Solution de contournement
- Node.js conseille de renforcer la rigueur de l’analyse des entêtes HTTP.