L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Nodejs Modules ~ non exhaustif

annonce de vulnérabilité 19422

Node.js express-restify-mongoose : obtention d'information

Synthèse de la vulnérabilité

Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/04/2016.
Références : VIGILANCE-VUL-19422.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Node.js express-restify-mongoose, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 19410

Node.js marked : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Node.js marked, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/04/2016.
Références : VIGILANCE-VUL-19410.

Description de la vulnérabilité

Le module marked peut être installé sur Node.js.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Node.js marked, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 19409

Node.js npm : obtention d'information via Token Leak

Synthèse de la vulnérabilité

Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/04/2016.
Références : VIGILANCE-VUL-19409.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux jetons de Node.js npm, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 19408

Node.js console-io : élévation de privilèges

Synthèse de la vulnérabilité

Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/04/2016.
Références : VIGILANCE-VUL-19408.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions de Node.js console-io, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2016-3956

Node.js npm : obtention du jeton d'authentification

Synthèse de la vulnérabilité

Un attaquant peut mettre en place un serveur web malveillant, afin de collecter les jetons d'authentification des utilisateurs de npm.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, lecture de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 01/04/2016.
Références : CVE-2016-3956, VIGILANCE-VUL-19285.

Description de la vulnérabilité

L'outil npm permet de gérer les paquetages Node.js.

Un utilisateur peut s'authentifier, afin de déposer sur le registre un paquetage dont il est l'auteur. Cependant, ce jeton d'authentification est ensuite envoyé à tous les serveurs web sur lequel npm se connecte.

Un attaquant peut donc mettre en place un serveur web malveillant, afin de collecter les jetons d'authentification des utilisateurs de npm.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-3942

Node.js jsrender : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut injecter des données dans Node.js jsrender, afin d'exécuter du code.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 31/03/2016.
Références : CVE-2016-3942, VIGILANCE-VUL-19273.

Description de la vulnérabilité

Le module jsrender peut être installé sur Node.js.

Cependant, si l'attaquant peut fournir un modèle spécial, il est mal interprété, et du code JavaScript malveillant est généré.

Un attaquant peut donc injecter des données dans Node.js jsrender, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 19252

Node.js airbrake : obtention d'information via HTTP

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité dans l'utilisation de HTTP par Node.js airbrake, afin d'obtenir des informations sensibles.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/03/2016.
Références : VIGILANCE-VUL-19252.

Description de la vulnérabilité

Le module airbrake peut être installé sur Node.js.

Cependant, un attaquant peut capturer certaines variables envoyées en clair.

Un attaquant peut donc utiliser une vulnérabilité dans l'utilisation de HTTP par Node.js airbrake, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-8851

Node.js uuid : prédictibilité d'identifiant

Synthèse de la vulnérabilité

Un attaquant peut deviner les identifiants générés par Node.js uuid.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/03/2016.
Références : CVE-2015-8851, VIGILANCE-VUL-19251.

Description de la vulnérabilité

Le module uuid peut être installé sur Node.js.

Cependant, son générateur aléatoire emploie Math.random(), qui ne possède pas assez d'entropie.

Un attaquant peut donc deviner les identifiants générés par Node.js uuid.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 19250

Node.js Droppy : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de Node.js Droppy, afin de forcer la victime à effectuer des opérations.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/03/2016.
Références : VIGILANCE-VUL-19250.

Description de la vulnérabilité

Le module Droppy peut être installé sur Node.js.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de Node.js Droppy, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 19249

Node.js restafary : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Node.js restafary, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/03/2016.
Références : VIGILANCE-VUL-19249.

Description de la vulnérabilité

Le module restafary peut être installé sur Node.js.

Cependant, les données provenant de l'utilisateur sont directement insérées dans un chemin d'accès. Les séquences comme "/.." permettent alors de remonter dans l'arborescence.

Un attaquant peut donc traverser les répertoires de Node.js restafary, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Nodejs Modules ~ non exhaustif :