Pourquoi vos projets Node.js affichent soudainement 6 alertes de sécurité

Depuis début mars 2026, GitHub Dependabot remonte en masse des alertes de sécurité sur trois packages npm : minimatch, flatted et serialize-javascript.

Si vous ne les reconnaissez pas dans votre code, c’est normal, il s’agit de dépendances transitives de vos outils habituels (webpack, vite, eslint, jest…), figées dans votre package-lock.json.

Six alertes ont été publiées en quelques semaines sur ces mêmes packages :

• CVE-2026-26996 (CVSS 8.7), CVE-2026-27903 et CVE-2026-27904 (CVSS 7.5 chacune) exposent minimatch à des attaques ReDoS via des mécanismes différents : wildcards * enchaînés, segments GLOBSTAR ** non adjacents et extglobs *() imbriqués. Tous corrigés à partir de la version 10.2.3.

• CVE-2026-32141 (CVSS 7.5) provoque un crash Node.js dans flatted via une récursion incontrôlée dans parse(), corrigé en 3.4.0. CVE-2026-33228 (CVSS 8.9) touche également flatted via la même fonction : une clé __proto__ dans le JSON parsé expose une référence à Array.prototype, permettant à du code aval de polluer le prototype global, avec un risque de déni de service ou d’exécution de code. Cette faille n’est corrigée qu’en 3.4.2 : si vous avez appliqué 3.4.0 ou 3.4.1, vous restez vulnérable.

• GHSA-5c6j-r48x-rmvq (CVSS 8.1) permet une injection de code dans serialize-javascript (≤ 7.0.2) via RegExp.flags, exploitable en exécution de code arbitraire si la sortie est évaluée côté serveur, corrigé en 7.0.3.

Des correctifs sont disponibles pour toutes les failles. Lancez npm audit fix pour les résoudre automatiquement, ou ajoutez des overrides dans votre package.json si certaines dépendances transitives résistent. Priorisez GHSA-5c6j, c’est la seule faille d’injection du lot.

Si vous avez d’autres remontées de ce type, n’hésitez pas à m’en faire part via email.

CVE-2026-26996 · CVE-2026-27903 · CVE-2026-27904 · CVE-2026-32141 · CVE-2026-33228 · GHSA-5c6j-r48x-rmvq