Le paquet ip (alias node-ip) jusqu'à la version 2.0.1 (sur NPM) pourrait permettre une attaque SSRF (Server-Side Request Forgery) car la valeur d'adresse IP 0 est incorrectement catégorisée comme routable publiquement via isPublic. NOTE: ce problème existe en raison d'une correction incomplète pour CVE-2024-29415. NOTE: dans les versions actuelles de plusieurs applications, les tentatives de connexion à l'adresse IP 0 (interprétée comme 0.0.0.0) sont bloquées avec des messages d'erreur tels que net::ERR_ADDRESS_INVALID. Cependant, dans certaines situations qui dépendent à la fois de la version de l'application et du système d'exploitation, les tentatives de connexion à 0 et 0.0.0.0 sont considérées comme des tentatives de connexion à 127.0.0.1 (et, pour cette raison, une valeur fausse de isPublic serait préférable).

L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant de contourner les contrôles de sécurité et d'accéder à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur. Cela peut inclure l'accès à des informations sensibles stockées sur le serveur, telles que des fichiers de configuration, des données de base de données ou des clés API. Dans certains cas, un attaquant pourrait même être en mesure d'utiliser le serveur comme point de pivot pour attaquer d'autres systèmes internes. La vulnérabilité est due à une classification incorrecte de l'adresse IP 0 (représentant 0.0.0.0) comme non routable publiquement, ce qui permet des requêtes vers 127.0.0.1 dans certaines configurations.

Applications built on Node.js that utilize the node-ip package, particularly those deployed in shared hosting environments or those that process user-supplied IP addresses without proper validation, are at risk. Legacy applications using older versions of Node.js and the node-ip package are also vulnerable.

• nodejs / server:

  npm list ip --depth=0  # Check installed version
  grep -r 'ip.isPublic(0)' . # Search for usage of vulnerable function

• generic web:

  curl -I <application_endpoint_using_ip_package> # Check response headers for unexpected internal IPs
  grep '0.0.0.0' /var/log/nginx/access.log # Monitor access logs for connections to 0.0.0.0

1. 2025-09-16Disclosure

   disclosure

2. 2025-09-16Patch

   patch

1. Réservé2025-09-16
2. Publiée2025-09-16
3. EPSS mis à jour2026-03-23

La mitigation principale consiste à mettre à jour le package ip vers la version 2.0.2 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en place des règles de pare-feu applicatif (WAF) ou de proxy pour bloquer les requêtes vers des adresses IP internes, en particulier 0.0.0.0 et 127.0.0.1. Vérifiez également la configuration de votre application pour vous assurer qu'elle ne permet pas l'accès direct à des ressources sensibles via des requêtes HTTP. Après la mise à jour, vérifiez que les requêtes vers 0.0.0.0 sont correctement bloquées et que l'application fonctionne comme prévu.

Dernière mise à jour

2.0.1il y a 27 mois