Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire
- Élévation de privilèges
Systèmes affectés
- Node.js versions 20.x antérieures à 20.20.0
- Node.js versions 22.x antérieures à 22.22.0
- Node.js versions 24.x antérieures à 24.13.0
- Node.js versions 25.x antérieures à 25.3.0
Résumé
De multiples vulnérabilités ont été découvertes dans Node.js. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et un déni de service à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Node.js december-2025-security-releases du 13 janvier 2026 https://nodejs.org/en/blog/vulnerability/december-2025-security-releases
- Référence CVE CVE-2025-55130 https://www.cve.org/CVERecord?id=CVE-2025-55130
- Référence CVE CVE-2025-55131 https://www.cve.org/CVERecord?id=CVE-2025-55131
- Référence CVE CVE-2025-55132 https://www.cve.org/CVERecord?id=CVE-2025-55132
- Référence CVE CVE-2025-59464 https://www.cve.org/CVERecord?id=CVE-2025-59464
- Référence CVE CVE-2025-59465 https://www.cve.org/CVERecord?id=CVE-2025-59465
- Référence CVE CVE-2025-59466 https://www.cve.org/CVERecord?id=CVE-2025-59466
- Référence CVE CVE-2026-21636 https://www.cve.org/CVERecord?id=CVE-2026-21636
- Référence CVE CVE-2026-21637 https://www.cve.org/CVERecord?id=CVE-2026-21637
