Vulnérabilités dans l’environnement JavaScript NodeJS
Date de publication :
CVE-2020-28477[Score CVSS v3 : 7.5] : Une vulnérabilité au niveau d’un prototype Javascript au sein du module immer de NodeJs a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service en envoyant des requêtes spécifiques à une architecture vulnérable.
CVE-2020-28478 [Score CVSS v3 : 7.5] : Une vulnérabilité au niveau d’un prototype Javascript au sein du module GSAP de NodeJs a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service en envoyant des requêtes spécifiques à une architecture vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Toutes les versions du module Javascript immer sont impactés par cette vulnérabilité.
- GSAP <v3.6.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Aucun correctif de sécurité n’a encore été proposé pour le module immer.
Mettre à jour le module GSAP vers la version 3.6.0.
Solution de contournement
Plusieurs moyens de réduire les risques liés à la CVE-2020-28477 sont disponibles sur le lien suivant, dans le section “How to prevent” :
Plusieurs moyens de réduire les risques liés à la CVE-2020-28478 sont disponibles sur le lien suivant, dans le section “How to prevent” :