L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Node Modules ~ non exhaustif

annonce de vulnérabilité 29952

Node.js grpc-ts-health-check : déni de service

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale de Node.js grpc-ts-health-check, afin de mener un déni de service.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client intranet.
Date création : 06/08/2019.
Références : NPM-1097, VIGILANCE-VUL-29952.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale de Node.js grpc-ts-health-check, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2018-16493

Node.js static-resource-server : lecture de fichier via Appended Slash

Synthèse de la vulnérabilité

Un attaquant local peut lire un fichier via Appended Slash de Node.js static-resource-server, afin d'obtenir des informations sensibles.
Produits concernés : IBM API Connect, Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 05/08/2019.
Références : CVE-2018-16493, ibm10958783, VIGILANCE-VUL-29941.

Description de la vulnérabilité

Un attaquant local peut lire un fichier via Appended Slash de Node.js static-resource-server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 29871

Node.js console-feed : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Node.js console-feed, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 24/07/2019.
Références : NPM-1088, VIGILANCE-VUL-29871.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Node.js console-feed, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 29870

Node.js otpauth : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions de Node.js otpauth, afin d'élever ses privilèges.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client internet.
Date création : 24/07/2019.
Références : NPM-1087, VIGILANCE-VUL-29870.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions de Node.js otpauth, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-20834

Node.js tar : corruption de fichier

Synthèse de la vulnérabilité

Un attaquant local peut créer un lien hard, afin de modifier le fichier pointé, avec les privilèges de Node.js tar.
Produits concernés : Nodejs Modules ~ non exhaustif, RHEL.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Date création : 22/07/2019.
Références : CVE-2018-20834, RHSA-2019:1821-01, VIGILANCE-VUL-29853.

Description de la vulnérabilité

Un attaquant local peut créer un lien hard, afin de modifier le fichier pointé, avec les privilèges de Node.js tar.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 29785

Node.js lodash : élévation de privilèges via Prototype Pollution

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Prototype Pollution de Node.js lodash, afin d'élever ses privilèges.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : document.
Date création : 16/07/2019.
Références : NPM-1065, NPM-1066, NPM-1067, NPM-1068, NPM-1069, NPM-1070, NPM-1071, VIGILANCE-VUL-29785.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Prototype Pollution de Node.js lodash, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 29662

Node.js apostrophe : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de Node.js apostrophe, afin de le rediriger vers un site malveillant.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 01/07/2019.
Références : NPM-1029, VIGILANCE-VUL-29662.

Description de la vulnérabilité

Le module apostrophe peut être installé sur Node.js.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de Node.js apostrophe, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 29640

Node.js ionic/core : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Node.js ionic/core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 27/06/2019.
Références : NPM-1023, VIGILANCE-VUL-29640.

Description de la vulnérabilité

Le module ionic/core peut être installé sur Node.js.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Node.js ionic/core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2019-10748

Node.js sequelize : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de Node.js sequelize, afin de lire ou modifier des données.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 25/06/2019.
Références : CVE-2019-10748, NPM-1017, NPM-1018, VIGILANCE-VUL-29618.

Description de la vulnérabilité

Le produit Node.js sequelize utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de Node.js sequelize, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 29529

Node.js resquel : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de Node.js resquel, afin de lire ou modifier des données.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 13/06/2019.
Références : NPM-963, VIGILANCE-VUL-29529.

Description de la vulnérabilité

Le produit Node.js resquel utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de Node.js resquel, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Node Modules ~ non exhaustif :