Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 30 janvier 2026 N° CERTFR-2026-AVI-0103 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Node.js Gestion du document Référence CERTFR-2026-AVI-0103 Titre Multiples vulnérabilités dans Node.js Date de la première version 30 janvier 2026 Date de la dernière version 30 janvier 2026 Source(s) Bulletin de sécurité Node.js openssl-fixes-in-regular-releases-jan2026 du 28 janvier 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risque Non spécifié par l'éditeur Systèmes affectés Node.js versions v20.x avec OpenSSL version 3.0.15 Node.js versions v22.x avec OpenSSL version 3.5.4 Node.js versions v24.x avec OpenSSL version 3.5.4 Node.js versions v25.x avec OpenSSL version 3.5.4 L'éditeur estime que la surface d'attaque permettant d'exploiter ces vulnérabilité est faible et fournira les correctifs pour OpenSSL dans une mise à jour normale à une date ultérieure. Résumé De multiples vulnérabilités ont été découvertes dans Node.js. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Node.js openssl-fixes-in-regular-releases-jan2026 du 28 janvier 2026 https://nodejs.org/en/blog/vulnerability/openssl-fixes-in-regular-releases-jan2026 Référence CVE CVE-2025-11187 https://www.cve.org/CVERecord?id=CVE-2025-11187 Référence CVE CVE-2025-69421 https://www.cve.org/CVERecord?id=CVE-2025-69421 Référence CVE CVE-2026-22795 https://www.cve.org/CVERecord?id=CVE-2026-22795