La fondation Node.js, par la voix d’un de ses responsables notamment Rod Vagg, vient d’annoncer la découverte de deux failles critiques sur son célèbre framework de développement d’applications web.
Ces deux failles dénommées CVE-2015-8027 et CVE-2015-6764 présentent respectivement des scores CVSS de 7,5 et 4,4. La première faille est d’un niveau de sévérité plus élevé que la seconde.
Selon Rod Vagg, la faille CVE-2015-8027 pourrait être exploitée par des personnes mal intentionnées grâce à des attaques par déni de service. Rod précise que les versions de Node.js affectées par cette vulnérabilité sont :
- les versions 0.12.x ;
- les versions 4.x, incluant LTS Argon ;
- et les versions 5.x.
Les détails relatifs à cette première vulnérabilité ne seront pas divulgués avant le 2 décembre prochain, date à laquelle les mises à jour de sécurité seront disponibles en téléchargement.
La faille CVE-2015-6764 quant à elle est considérée comme moins grave avec un score CVSS de 4,4. Selon Rod Vagg, cette vulnérabilité est liée au moteur JavaScript de Google V8 et affecte les versions de Node.js suivantes :
- les versions 4.x, incluant LTS Argon ;
- et les versions 5.x.
Face à ces deux vulnérabilités, la fondation Node.js affirme que des correctifs sont en préparation et devraient être disponibles le 2 décembre prochain.
Source : blog node.js
Et vous ?
Que pensez-vous de ces vulnérabilités ?