Nouvelle alerte qui dérive des postes précédents car elle ne concerne pas directement l’installation de Node.js mais l’une de ses possibles importations.
La faille que nous parlons aujourd’hui provient de l’importation de la bibliothèque libuv dans Node.js.
Pour information ou rappel libuv sert principalement à prendre en charge les E/S asynchrones basées sur des boucles d’événements.
Sa faille provient d’une possible falsification de requête côté serveur, causée par une mauvaise recherche de domaine par la fonction uv_getaddrinfo dans src/unix/getaddrinfo.c.
Par ce biais, en envoyant une requête spécialement conçue, un attaquant peut exploiter cette vulnérabilité pour mener une attaque SSRF (Server-Side Request Forgery). Score CVSS 7.3.
Pour corriger cette faille il vous suffit de mettre à jour Node.js avec la version LTS 18. Vous pouvez retrouver les détails de cette faille en cliquant sur le lien ci-joint : (https://lnkd.in/eD2TC6tR)
