Vulnérabilités dans NodeJS
Date de publication :
CVE-2021-22930 [Score CVSS v3 : 9.8]
Une vulnérabilité de type use-after-free dans NodeJS. Cette faille peut permettre à un attaquant d'exploiter la corruption de la mémoire, ce qui entraîne une modification du comportement du processus.
CVE-2021-22931 [Score CVSS v3 : 9.8]
Une vulnérabilité dans NodeJS pouvant permettre l'exécution de code à distance, des attaques de types XSS ainsi qu’un déni de service des applications vulnérables. Cette faille est due à une validation d'entrée manquante des noms d'hôtes renvoyés par les serveurs de noms de domaine dans la bibliothèque DNS de Node.js. Son exploitation peut permettre à un attaquant distant et non-authentifié d’injecter du code arbitraire de façon non spécifiée dans les applications utilisant la bibliothèque.
CVE-2021-22940 [Score CVSS v3 : 7.5]
Une vulnérabilité de type "use after free" au sein de NodeJS. Un attaquant distant et non-authentifié peut être en mesure d'exploiter la corruption de la mémoire afin de modifier le comportement du processus.
CVE-2021-3672 [Score CVSS v3 : 7.3]
L'absence de validation en entrée des noms d'hôtes renvoyés par les serveurs de noms de domaine dans la bibliothèque c-ares peut conduire à l'affichage de noms d'hôtes erronés. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité afin de détourner des noms de domaines.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Déni de service
- Atteinte à l’intégrité des données
- Atteinte à la confidentialité des données
- Violation des politiques de sécurité
Criticité
- Scores CVSS v3 : 9.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Node.js versions antérieures à 16.6.1
- Node.js versions antérieures à 14.17.5
- Node.js versions antérieures à 12.22.5
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour NodeJS conformément aux instructions de l’éditeur.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.