npm & Node.js Security ArticlesArticles Sécurité npm & Node.js

CVE analysis, supply chain attacks, audit tools and monitoring guides for the npm and Node.js ecosystem.

Analyse de CVE, attaques supply chain, outils d'audit et guides de monitoring pour l'écosystème npm et Node.js.

Results for Résultats pour

npm npm

Node.js & Express Security Vulnerabilities in 2026: 16 CVEs, Node 20 EOL & Hardening Guide

Vulnérabilités Node.js & Express en 2026 : 16 CVE, EOL Node 20 & Guide de Durcissement

Node.js patched 16 CVEs in Q1 2026 — CVE-2026-21637 crashes TLS servers with a single malformed SNI packet (High), CVE-2026-21710 brings down HTTP servers via a __proto__ header (High), CVE-2026-4867/4923 bring ReDoS back to Express routing. Node.js 20 reached EOL April 30, 2026. Full hardening guide with helmet.js and express-rate-limit.

Node.js a corrigé 16 CVE au T1 2026 — CVE-2026-21637 crashe les serveurs TLS avec un seul paquet SNI mal formé (High), CVE-2026-21710 fait tomber les serveurs HTTP via un header __proto__ (High), CVE-2026-4867/4923 réintroduisent le ReDoS dans le routage Express. Node.js 20 en fin de vie le 30 avril 2026. Guide de durcissement complet avec helmet.js et express-rate-limit.

npm npm

Vite.js Security Vulnerabilities in 2026: CVE-2025-30208, CISA KEV & The Recurring WebSocket File Read Problem

Vulnérabilités Vite.js en 2026 : CVE-2025-30208, CISA KEV & Le Problème Récurrent de Lecture de Fichiers via WebSocket

4 file-read CVEs in Vite’s dev server in 18 months. CVE-2025-31125 added to CISA KEV January 2026 — active exploitation confirmed. CVE-2026-39363 CVSS 8.2 bypasses all HTTP access controls via WebSocket. Full developer guide with verified data.

4 CVE de lecture de fichiers dans le serveur de développement Vite en 18 mois. CVE-2025-31125 ajoutée au CISA KEV en janvier 2026 — exploitation active confirmée. CVE-2026-39363 CVSS 8.2 contourne tous les contrôles d’accès HTTP via WebSocket. Guide complet avec données vérifiées.

npm npm

npm Semver Vulnerabilities & Range Exploits in 2026: ^1.0.0 Risks, CVE-2022-25883 & Defense Guide

Vulnérabilités Semver npm en 2026 : Risques ^1.0.0, CVE-2022-25883 & Guide de Défense

The semver package gets 643M downloads/week — CVE-2022-25883 cascaded to thousands of packages. Caret ranges let attackers slip malicious minor versions past your lockfile. Full 2026 guide with real incidents and verified data.

Le package semver reçoit 643M téléchargements/semaine — CVE-2022-25883 a cascadé vers des milliers de packages. Les ranges caret permettent aux attaquants de glisser des versions mineures malveillantes dans votre lockfile. Guide complet 2026.

npm npm

npm Self-Propagating Worms in 2026: CanisterWorm, Bitwarden CLI & How TeamPCP Turns Developers into Malware Vectors

Vers Auto-Propagants npm en 2026 : CanisterWorm, Bitwarden CLI & Comment TeamPCP Transforme les Développeurs en Vecteurs de Malware

April 22, 2026: CanisterWorm backdoored Namastex npm packages while @bitwarden/cli@2026.4.0 was live on npm for 93 minutes. Both attacks by TeamPCP. How self-propagating worms steal tokens, infect dozens of packages in minutes, and how to protect your stack.

Le 22 avril 2026 : CanisterWorm backdooré les packages npm de Namastex pendant que @bitwarden/cli@2026.4.0 était en ligne 93 minutes. Les deux attaques par TeamPCP. Comment les vers auto-propagants voléent les tokens et infectent des dizaines de packages en minutes.

npm npm

npm Lockfile Poisoning in 2026: How Attackers Hijack package-lock.json & yarn.lock

Lockfile Poisoning npm en 2026 : Comment les attaquants détournent package-lock.json & yarn.lock

The Axios RAT hid in a lockfile entry for 2h54. 111 Dependabot PRs propagated it, 60% auto-merged. How lockfile poisoning works, npm ci vs npm install, lockfile-lint, and Socket.dev — with verified sources.

Le RAT Axios s’est caché dans une entrée de lockfile pendant 2h54. 111 PRs Dependabot l’ont propagé, 60% auto-mergées. Mécanisme de l’attaque, npm ci vs npm install, lockfile-lint et Socket.dev.

npm npm

Dependabot vs Renovate in 2026: Comparison, Supply Chain Risks & The CVE Gap No Bot Covers

Dependabot vs Renovate en 2026 : Comparaison Complète, Risques Supply Chain & L’angle mort CVE qu’aucun bot ne couvre

111 Dependabot PRs and 30 Renovate PRs helped spread the Axios malware in under 1 hour. 60% were auto-merged with zero human review. Full feature comparison, safe auto-merge config, and the CVE monitoring gap that no update bot covers.

111 PR Dependabot et 30 PR Renovate ont contribué à propager le malware Axios en moins d’1 heure. 60% ont été auto-mergées sans revue humaine. Comparaison complète des fonctionnalités, config auto-merge sûre, et l’angle mort CVE qu’aucun bot de mise à jour ne couvre.

Next.js Next.js

Next.js Security Vulnerabilities in 2026: React2Shell & What to Do

Vulnérabilités Next.js en 2026 : React2Shell et Comment Réagir

CVE-2025-55182 (CVSS 10.0) gave attackers unauthenticated RCE on every default Next.js install. 766 servers breached. Full breakdown of every 2026 vulnerability and how to patch.

CVE-2025-55182 (CVSS 10.0) offrait aux attaquants un RCE non authentifié sur toute installation Next.js par défaut. 766 serveurs compromis. Tour complet des vulnérabilités 2026 et comment patcher.

npm npm

npm Typosquatting & AI Tools in 2026: SANDWORM_MODE and Slopsquatting

Typosquatting npm & Outils IA en 2026 : SANDWORM_MODE et Slopsquatting

19 packages targeting Claude Code, Cursor & Windsurf. Plus: slopsquatting — when your AI assistant hallucinates a malicious package name. Real incidents, real defenses.

19 packages ciblant Claude Code, Cursor & Windsurf. Et le slopsquatting — quand votre assistant IA hallucine un nom de package malveillant. Incidents réels, défenses concrètes.

npm npm

npm Supply Chain Attacks in 2026: How to Protect Your Projects

Attaques Supply Chain npm en 2026 : Comment Protéger Vos Projets

Axios, Shai-Hulud, The Great NPM Heist — 454,648 malicious packages in 2025 alone. Real incidents, attack patterns, and concrete defenses for Node.js developers.

Axios, Shai-Hulud, le Grand Vol npm — 454 648 packages malveillants en 2025. Incidents réels, vecteurs d'attaque et défenses concrètes pour les développeurs Node.js.

npm npm

Understanding Prototype Pollution in npm Packages

Comprendre le Prototype Pollution dans les packages npm

Prototype pollution is one of the most subtle and dangerous vulnerabilities in the JavaScript ecosystem. Learn how it works, which packages are affected, and how to detect it in your dependency tree.

Le prototype pollution est l'une des vulnérabilités les plus subtiles et dangereuses de l'écosystème JavaScript. Découvrez comment il fonctionne, quels packages sont concernés et comment le détecter dans votre arbre de dépendances.

npm npm

npm audit vs Continuous Monitoring: What You're Missing

npm audit vs Monitoring Continu : ce que vous manquez

Running npm audit once is not enough. Discover the gap between one-time audits and continuous CVE monitoring, and why agencies managing multiple projects need automated scanning.

Exécuter npm audit une seule fois ne suffit pas. Découvrez l'écart entre les audits ponctuels et le monitoring CVE continu, et pourquoi les agences gérant plusieurs projets ont besoin d'un scan automatisé.

npm npm

Top 10 npm Vulnerabilities in 2026

Top 10 des vulnérabilités npm en 2026

A curated list of the most critical npm CVEs discovered this year. From supply chain attacks to malicious packages, here's what every Node.js developer should know.

Une sélection des CVE npm les plus critiques découvertes cette année. Des attaques supply chain aux packages malveillants, voici ce que tout développeur Node.js doit savoir.

Monitor your dependencies automatically

Surveillez vos dépendances automatiquement

Upload your lockfiles and get instant CVE alerts. No code access required.

Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.

Start your 14-day free trial Demarrer l'essai gratuit 14 jours