L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Node.js Modules ~ non exhaustif

annonce de vulnérabilité informatique 26267

Node.js base64url : obtention d'information

Synthèse de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire de Node.js base64url, afin d'obtenir des informations sensibles.
Produits concernés : Fedora, Nodejs Modules ~ non exhaustif.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 30/05/2018.
Références : FEDORA-2018-6f962c5533, FEDORA-2018-b64b73ae61, VIGILANCE-VUL-26267.

Description de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire de Node.js base64url, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-3719

Node.js mixin-deep : vulnérabilité

Synthèse de la vulnérabilité

Une vulnérabilité de Node.js mixin-deep a été annoncée.
Produits concernés : Fedora, Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Date création : 30/05/2018.
Références : CVE-2018-3719, FEDORA-2018-ab62814cee, VIGILANCE-VUL-26266.

Description de la vulnérabilité

Une vulnérabilité de Node.js mixin-deep a été annoncée.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 26238

Node.js deep-extend : vulnérabilité via Prototype Pollution

Synthèse de la vulnérabilité

Une vulnérabilité via Prototype Pollution de Node.js deep-extend a été annoncée.
Produits concernés : Fedora, Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Date création : 28/05/2018.
Références : FEDORA-2018-636f73964f, VIGILANCE-VUL-26238.

Description de la vulnérabilité

Une vulnérabilité via Prototype Pollution de Node.js deep-extend a été annoncée.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 26205

Node.js hekto : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de Node.js hekto, afin de le rediriger vers un site malveillant.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 23/05/2018.
Références : VIGILANCE-VUL-26205.

Description de la vulnérabilité

Le module hekto peut être installé sur Node.js.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de Node.js hekto, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 26164

Node.js react-marked-markdown : Cross Site Scripting via HREF Attributes

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via HREF Attributes de Node.js react-marked-markdown, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 18/05/2018.
Références : VIGILANCE-VUL-26164.

Description de la vulnérabilité

Le module react-marked-markdown peut être installé sur Node.js.

Cependant, les données reçues via HREF Attributes ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via HREF Attributes de Node.js react-marked-markdown, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-3746 CVE-2018-3754

Node.js Modules : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Node.js Modules.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 17/05/2018.
Références : CVE-2018-3746, CVE-2018-3754, VIGILANCE-VUL-26159.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Node.js Modules.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 26048

Node.js getcookies : exécution de code via Backdoor

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Backdoor de Node.js getcookies, afin d'exécuter du code.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 04/05/2018.
Références : VIGILANCE-VUL-26048.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Backdoor de Node.js getcookies, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 25654

Node.js electron : exécution de code via Integration

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Integration de Node.js electron, afin d'exécuter du code.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 26/03/2018.
Références : VIGILANCE-VUL-25654.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Integration de Node.js electron, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-3732

Node.js resolve-path : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Node.js resolve-path, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 09/03/2018.
Références : CVE-2018-3732, VIGILANCE-VUL-25515.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de Node.js resolve-path, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-11429

Node.js saml2-js : élévation de privilèges via un contournement de signature

Synthèse de la vulnérabilité

Cette vulnérabilité est identique à celle décrit dans VIGILANCE-VUL-25384 pour un autre produit.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 28/02/2018.
Références : CVE-2017-11429, VIGILANCE-VUL-25396.

Description de la vulnérabilité

Cette vulnérabilité est identique à celle décrit dans VIGILANCE-VUL-25384 pour un autre produit.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Node.js Modules ~ non exhaustif :