Vulnérabilités dans Node.js

Date de publication :

Plusieurs vulnérabilités, dont deux critiques, ont été découvertes dans Node.js. Elles peuvent permettre à un attaquant de provoquer un détournement de session utilisateur ou une exécution de code arbitraire.

CVE-2020-8252 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “débordement de tampon” a été découverte dans l’implémentation de realpath dans le composant libuv utilisé dans Node.js. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance.

CVE-2020-8201 [Score CVSS v3 : 9.1] : Une vulnérabilité de type “détournement de requêtes HTTP” a été découverte dans Node.js. Elle peut permettre à un attaquant de provoquer un détournement de session utilisateur. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire à distance

    Détournement de session utilisateur

Criticité

    Score CVSS v3 : 9.8 max

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

    Node.js versions 10.x avant la 10.22.1

    Node.js versions 12.x avant la 12.18.4

    Node.js versions 14.x avant la 14.11.0

CVE

    CVE-2020-15095 

    CVE-2020-8201 

    CVE-2020-8252

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Node.js vers des versions non vulnérables

Solution de contournement

  • Aucune solution de contournement

Liens