typescript.news
Node.js Mars 2026 : Six Correctifs de Sécurité Sur Toutes les Branches Actives
Node.jssécuritéCVETLSHTTPTypeScript

Node.js Mars 2026 : Six Correctifs de Sécurité Sur Toutes les Branches Actives

lschvn5 min de lecture

Node.js a publié un ensemble coordonné de correctifs de sécurité le 24 mars 2026, couvrant six CVE sur chaque ligne de release active. Si vous utilisez Node en production, c'est la mise à jour que vous attendiez.

Les Deux Correctifs à Haute Sévérité

CVE-2026-21637 — Crash TLS SNICallback (High)

TLS SNICallback permet à un serveur de sélectionner le bon certificat selon le hostname du client. La vulnérabilité : si votre implémentation SNICallback levait une exception, Node.js ne la capturait pas, faisant planter le processus entier durant le handshake TLS. Matteo Collina a corrigé cela en wrappant l'invocation SNICallback dans un try/catch.

CVE-2026-21710 — Pollution Prototype HTTP (High)

Les objets headersDistinct et trailersDistinct dans les réponses HTTP Node.js utilisaient des prototypes JavaScript standards. Cela ouvre une vecteur d'attaque par pollution prototype : si un attaquant pouvait influencer les clés définies sur ces objets, il pouvait injecter des propriétés comme __proto__ ou constructor. La correction : utiliser un prototype null (Object.create(null)).

Quatre Correctifs de Sévérité Moyenne et Basse

CVE-2026-21713 — Comparaison HMAC Timing-Safe (Medium) Filip Skokan a corrigé l'implémentation HMAC Web Cryptography pour utiliser une comparaison timing-safe, empêchant les attaques par canal auxiliaire.

CVE-2026-21714 — Contrôle de Flux NGHTTP2 (Medium) RafaelGSS a corrigé un problème où les erreurs NGHTTP2_ERR_FLOW_CONTROL non gérées pouvaient causer des blocages dans les connexions HTTP/2.

CVE-2026-21717 — Test de Collision Hash (Medium) Joyee Cheung a mis à jour la suite de tests V8 pour détecter correctement les attaques par collision hash sur les indices de tableau.

CVE-2026-21715 et CVE-2026-21716 — Failles du Système de Permissions (Low) Deux vérifications de permissions manquaient dans realpath.native et les APIs fs/promises, permettant un accès filesystem hors des chemins permis.

Autres Changements

  • undici mis à jour vers v6.24.1
  • npm amélioré vers 10.9.7 sur les branches v22 et v25
  • V8 mis à jour sur toutes les branches avec les correctifs de sécurité upstream

Ce Qu'il Faut Faire

Si vous utilisez l'une des versions affectées, mettez à jour immédiatement. Pour les utilisateurs LTS, v22.22.2 est la ligne LTS recommandée actuelle.

Couverture quotidienne de l'écosystème TypeScript et JavaScript sur ts.news.

Questions fréquentes

Inertia.js 3.0 Comble le Fossé Entre les SPAs et les Frameworks Serveur

Next.js 16.2 Stabilise l'API Adaptateur — et c'est Plus Important que Ça en a l'Air

Articles connexes

Plus de couverture avec des sujets et tags en commun.

Inertia.js 3.0 Comble le Fossé Entre les SPAs et les Frameworks Serveur
TypeScript

Inertia.js 3.0 Comble le Fossé Entre les SPAs et les Frameworks Serveur

Inertia.js 3.0 prend en charge React, Vue et Svelte avec Laravel, Rails ou Django en backend — sans couche API. Voici les nouveautés de cette approche 'Monolithe Moderne' du développement web.
JetBrains Ouvrir le Coffre : JavaScript et TypeScript Disponibles Gratuitement dans IntelliJ IDEA
TypeScript

JetBrains Ouvrir le Coffre : JavaScript et TypeScript Disponibles Gratuitement dans IntelliJ IDEA

Depuis mars 2026, IntelliJ IDEA v2026.1 intègre gratuitement les fonctionnalités JavaScript, TypeScript, HTML, CSS et React basique — auparavant réservées à l'abonnement Ultimate payant. Nuance : Angular, Vue et le débogage avancé restent payants.

Commentaires

Connexion Connectez-vous pour participer à la conversation.

Pas encore de commentaires. Soyez le premier à partager vos pensées.