L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Nodejs Modules ~ non exhaustif

alerte de vulnérabilité 19951

Node.js shell-quote : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Node.js shell-quote, afin d'exécuter du code.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 22/06/2016.
Références : VIGILANCE-VUL-19951.

Description de la vulnérabilité

Le module shell-quote peut être installé sur Node.js.

Il doit traiter des chaînes pour pouvoir les intégrer dans des commandes shell. Cependant, plusieurs caractères spéciaux du shell ne sont pas banalisés.

Un attaquant peut donc utiliser des caractères spéciaux du shell dans une chaîne traitée avec le module Node.js shell-quote, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 19913

Node.js cli : corruption de fichiers via des fichiers temporaires prédictibles

Synthèse de la vulnérabilité

Un attaquant peut créer des via liens à la place des fichiers temporaires de Node.js cli, afin de corrompre des fichiers modifiables par Node.js.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Date création : 16/06/2016.
Références : VIGILANCE-VUL-19913.

Description de la vulnérabilité

Le module cli peut être installé sur Node.js.

Il utilise des fichiers temporaires au nom prédictible dans un emplacement accessible en écriture à tout le monde ("/tmp"). Un attaquant peut donc créer des liens symboliques ayant les noms prédits afin de corrompre les fichiers pointés avec les privilèges du processus Node.js.

Un attaquant peut donc créer des via liens à la place des fichiers temporaires de Node.js cli, afin de corrompre des fichiers modifiables par Node.js.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 19692

Node.js backbone : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Node.js backbone, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 24/05/2016.
Références : VIGILANCE-VUL-19692.

Description de la vulnérabilité

Le module backbone peut être installé sur Node.js.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Node.js backbone, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 19691

Node.js dojo : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Node.js dojo, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 24/05/2016.
Références : VIGILANCE-VUL-19691.

Description de la vulnérabilité

Le module dojo peut être installé sur Node.js.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Node.js dojo, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 19475

Node.js engine.io-client : Man-in-the-Middle

Synthèse de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle sur Node.js engine.io-client, afin de lire ou modifier des données de la session.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 27/04/2016.
Références : VIGILANCE-VUL-19475.

Description de la vulnérabilité

Le produit Node.js engine.io-client utilise le protocole TLS afin de créer des sessions sécurisées.

Cependant, le certificat X.509 et l'identité du service ne sont pas correctement vérifiés.

Un attaquant peut donc se positionner en Man-in-the-Middle sur Node.js engine.io-client, afin de lire ou modifier des données de la session.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 19456

Node.js electron-packager : Man-in-the-Middle

Synthèse de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle sur Node.js electron-packager, afin de lire ou modifier des données de la session.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 25/04/2016.
Références : VIGILANCE-VUL-19456.

Description de la vulnérabilité

Le produit Node.js electron-packager utilise le protocole TLS afin de créer des sessions sécurisées.

Cependant, le certificat X.509 et l'identité du service ne sont pas vérifiés par défaut.

Un attaquant peut donc se positionner en Man-in-the-Middle sur Node.js electron-packager, afin de lire ou modifier des données de la session.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 19455

Node.js csrf-lite : obtention d'information via Time String Comparison

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de Node.js csrf-lite, afin de forcer la victime à effectuer des opérations.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 25/04/2016.
Références : VIGILANCE-VUL-19455.

Description de la vulnérabilité

Le module csrf-lite peut être installé sur Node.js.

Cependant, la comparaison du jeton de session s'arrête à la première différence, ce qui permet de progressivement le contourner en mesurant le temps d'exécution.

Un attaquant peut donc provoquer un Cross Site Request Forgery de Node.js csrf-lite, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 19422

Node.js express-restify-mongoose : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Node.js express-restify-mongoose, afin d'obtenir des informations sensibles.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 20/04/2016.
Références : VIGILANCE-VUL-19422.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Node.js express-restify-mongoose, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 19410

Node.js marked : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Node.js marked, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 19/04/2016.
Références : VIGILANCE-VUL-19410.

Description de la vulnérabilité

Le module marked peut être installé sur Node.js.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Node.js marked, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 19409

Node.js npm : obtention d'information via Token Leak

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux jetons de Node.js npm, afin d'obtenir des informations sensibles.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 19/04/2016.
Références : VIGILANCE-VUL-19409.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux jetons de Node.js npm, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Nodejs Modules ~ non exhaustif :