L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Node Modules ~ non exhaustif

avis de vulnérabilité 26904

Node.js url-parse : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de Node.js url-parse, afin de le rediriger vers un site malveillant.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 1/4.
Date création : 03/08/2018.
Références : VIGILANCE-VUL-26904.

Description de la vulnérabilité

Le module url-parse peut être installé sur Node.js.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de Node.js url-parse, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 26205

Node.js hekto : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de Node.js hekto, afin de le rediriger vers un site malveillant.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 1/4.
Date création : 23/05/2018.
Références : VIGILANCE-VUL-26205.

Description de la vulnérabilité

Le module hekto peut être installé sur Node.js.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de Node.js hekto, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 26164

Node.js react-marked-markdown : Cross Site Scripting via HREF Attributes

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via HREF Attributes de Node.js react-marked-markdown, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Date création : 18/05/2018.
Références : VIGILANCE-VUL-26164.

Description de la vulnérabilité

Le module react-marked-markdown peut être installé sur Node.js.

Cependant, les données reçues via HREF Attributes ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via HREF Attributes de Node.js react-marked-markdown, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2018-1000006

Node Electron : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Node Electron, afin d'injecter une ligne de commande dans les arguments de Chromium.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Date création : 24/01/2018.
Références : CVE-2018-1000006, VIGILANCE-VUL-25145, ZDI-18-308.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Node Electron, afin d'injecter une ligne de commande dans les arguments de Chromium.

Une analyse détaillée n'a pas été effectuée pour ce bulletin.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 24148

Node.js st : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de Node.js st, afin de le rediriger vers un site malveillant.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 1/4.
Date création : 16/10/2017.
Références : VIGILANCE-VUL-24148.

Description de la vulnérabilité

Le module st peut être installé sur Node.js.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de Node.js st, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 23097

Node.js f2e-server : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Node.js f2e-server, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Date création : 28/06/2017.
Références : VIGILANCE-VUL-23097.

Description de la vulnérabilité

Le module f2e-server peut être installé sur Node.js.

Cependant, les données provenant de l'utilisateur sont directement insérées dans un chemin d'accès. Les séquences comme "/.." permettent alors de remonter dans l'arborescence.

Un attaquant peut donc traverser les répertoires de Node.js f2e-server, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 22936

Node pidusage : injection de commande shell

Synthèse de la vulnérabilité

Un attaquant peut ajouter une commande shell à la suite d'un PID passé à Node pidusage, afin d'exécuter une commande arbitraire.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Date création : 09/06/2017.
Références : VIGILANCE-VUL-22936.

Description de la vulnérabilité

Un attaquant peut ajouter une commande shell à la suite d'un PID passé à Node pidusage, afin d'exécuter une commande arbitraire.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 22781

Node windows-cpu : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut détourner Node windows-cpu, afin de faire exécuter des commandes shell arbitraires.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Date création : 22/05/2017.
Références : VIGILANCE-VUL-22781.

Description de la vulnérabilité

Un attaquant peut détourner Node windows-cpu, afin de faire exécuter des commandes shell arbitraires.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 22561

Node.js brace-expansion : déni de service

Synthèse de la vulnérabilité

Un attaquant peut soumettre des chaines avec de nombreuses virgules à Node.js brace-expansion, afin de mener un déni de service par surconsommation de puissance de calcul et éventuellement de mémoire.
Produits concernés : Fedora, Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Date création : 26/04/2017.
Références : FEDORA-2017-2522df3526, VIGILANCE-VUL-22561.

Description de la vulnérabilité

Un attaquant peut soumettre des chaines avec de nombreuses virgules à Node.js brace-expansion, afin de mener un déni de service par surconsommation de puissance de calcul et éventuellement de mémoire.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 22471

Node.js useragent : déni de service via l'entête HTTP User-Agent

Synthèse de la vulnérabilité

Un attaquant peut provoquer une boucle sans fin via un entête de requête User-Agent dans Node.js useragent, afin de mener un déni de service.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Date création : 18/04/2017.
Références : VIGILANCE-VUL-22471.

Description de la vulnérabilité

Un attaquant peut provoquer une boucle sans fin via un entête de requête User-Agent dans Node.js useragent, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Node Modules ~ non exhaustif :