Node.js, le moteur qui fait tourner de nombreuses applications web et API modernes, vient de publier une mise à jour de sécurité importante. Huit vulnérabilités ont été corrigées, dont trois considérées comme critiques.
Qui est concerné ?
Votre organisation est potentiellement concernée si vous utilisez :
- Des applications web développées en JavaScript/TypeScript côté serveur
- Des API ou microservices Node.js
- Des outils de développement basés sur Node.js (build, tests, etc.)
Quels sont les risques ?
Les failles corrigées permettent plusieurs types d'attaques :
| Risque | Sévérité | Impact potentiel |
|---|---|---|
| Fuite de données sensibles | Haute | Des informations confidentielles (tokens, mots de passe) pourraient être exposées |
| Déni de service | Haute | Un attaquant pourrait faire crasher vos serveurs à distance |
| Contournement des protections | Haute | Les restrictions d'accès aux fichiers pourraient être contournées |
| Épuisement des ressources | Moyenne | Vos serveurs pourraient ralentir progressivement jusqu'à devenir indisponibles |
Versions à installer
| Version actuelle | Mettre à jour vers |
|---|---|
| Node.js 25.x | 25.3.0 |
| Node.js 24.x | 24.13.0 |
| Node.js 22.x (LTS) | 22.22.0 |
| Node.js 20.x (LTS) | 20.20.0 |
Que faire ?
1. Identifier vos installations Node.js
Faites l'inventaire des serveurs et applications utilisant Node.js dans votre infrastructure.
2. Planifier la mise à jour
Coordonnez avec vos équipes techniques pour appliquer les correctifs dans les meilleurs délais. Les versions LTS (20.x et 22.x) sont généralement privilégiées en production.
3. Redémarrer les services
Après la mise à jour, un redémarrage des applications est nécessaire pour que les correctifs prennent effet.
Références CVE
- Sévérité haute (high) : CVE-2025-55131, CVE-2025-55130, CVE-2025-59465
- Sévérité moyenne (medium) : CVE-2025-59466, CVE-2025-59464, CVE-2026-21636, CVE-2026-21637
- Sévérité basse (low) : CVE-2025-55132