Vulnérabilités dans Node.js
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans Node.js, un environnement d’exécution pour JavaScript. Elles peuvent permettre à un attaquant de provoquer un contournement d’authentification, un déni de service ou une exécution de code arbitraire.
CVE-2020-8172 [Score CVSS v3 : 7.4] : Une vulnérabilité de type “contournement d’authentification” a été découverte dans Node.js. Elle est due à un bogue permettant dans certaines conditions que l’event “session” soit émis avant l’event “secureConnect”.
CVE-2020-8174 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “erreur de limite” dans les fonctions napi_get_value_string_latin1(), napi_get_value_string_utf8() et napi_get_value_string_utf16() peut permettre à un attaquant distant de provoquer un débordement de tas pouvant conduire à un déni de service ou une exécution de code arbitraire.
CVE-2020-10531 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “débordement d’intégrale” a été découverte dans la fonction UnicodeString::doAppend() de common/unistr.cpp. Selon l’éditeur, cette vulnérabilité serait impossible à exploiter et le correctif a été appliqué uniquement en se basant sur le principe de précaution.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement d’authentification
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.8 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- Node.js versions 10.x, 12.x et 14.x
CVE
- CVE-2020-8172
- CVE-2020-11080
- CVE-2020-8174
- CVE-2020-10531
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Node.js vers une version non vulnérable (10.21.0, 12.18.0 ou 14.4.0)
Solution de contournement
Aucune solution de contournement n’est disponible