Le CERT-FR a publié le 22 janvier 2025 un avis de sécurité concernant six vulnérabilités découvertes dans Node.js. Ces failles affectent l'ensemble des versions actuellement maintenues et nécessitent une mise à jour urgente.
Risques identifiés
Les vulnérabilités permettent deux types d'attaques :
- Contournement de la politique de sécurité : un attaquant pourrait bypasser les mécanismes de protection mis en place
- Déni de service à distance : possibilité de rendre indisponible une application Node.js sans accès physique au serveur
Versions concernées
Toutes les branches actives de Node.js sont impactées :
| Branche | Versions vulnérables | Version corrigée |
|---|---|---|
| Node.js 18.x (LTS) | < 18.20.6 | 18.20.6 |
| Node.js 20.x (LTS) | < 20.18.2 | 20.18.2 |
| Node.js 22.x (LTS) | < 22.13.1 | 22.13.1 |
| Node.js 23.x | < 23.6.1 | 23.6.1 |
Références CVE
Six identifiants CVE ont été attribués à ces vulnérabilités :
- CVE-2025-23083
- CVE-2025-23084
- CVE-2025-23085
- CVE-2025-23087
- CVE-2025-23088
- CVE-2025-23089
Actions recommandées
1. Identifier vos installations Node.js
Vérifiez la version actuellement installée sur vos serveurs :
node --version
2. Mettre à jour immédiatement
Selon votre gestionnaire de versions :
# Avec nvm
nvm install 20.18.2
nvm use 20.18.2
# Avec apt (Debian/Ubuntu)
sudo apt update && sudo apt upgrade nodejs
# Avec le binaire officiel
# Téléchargez depuis nodejs.org
3. Redémarrer vos applications
Après la mise à jour, redémarrez tous les processus Node.js pour appliquer les correctifs :
# PM2
pm2 restart all
# Systemd
sudo systemctl restart votre-service-nodejs
Impact pour les entreprises
Node.js est omniprésent dans les infrastructures modernes : serveurs web, APIs, outils de build, applications Electron. Une vulnérabilité dans ce runtime peut donc avoir un impact significatif sur votre système d'information.
Nous recommandons de :
- Inventorier toutes les instances Node.js dans votre SI
- Prioriser les applications exposées sur Internet
- Planifier les mises à jour dans les 48 heures
Ressources
Besoin d'aide pour auditer votre infrastructure Node.js ou mettre en place une politique de gestion des vulnérabilités ? Contactez nos experts en cybersécurité.