Pourquoi vos projets Node.js affichent soudainement 6 alertes de sécurité
Six alertes de sécurité touchent des dépendances npm comme minimatch, flatted et serialize-javascript. Voici ce qui se passe et comment corriger.
Publié le par Emmanuel LASTRA1 min de lecture

Depuis début mars 2026, GitHub Dependabot remonte en masse des alertes de sécurité sur trois packages npm : minimatch, flatted et serialize-javascript.
Si vous ne les reconnaissez pas dans votre code, c’est normal, il s’agit de dépendances transitives de vos outils habituels (webpack, vite, eslint, jest…), figées dans votre package-lock.json.
Six alertes ont été publiées en quelques semaines sur ces mêmes packages :
-
CVE-2026-26996 (CVSS 8.7), CVE-2026-27903 et CVE-2026-27904 (CVSS 7.5 chacune) exposent
minimatchà des attaques ReDoS via des mécanismes différents : wildcards*enchaînés, segments GLOBSTAR**non adjacents et extglobs*()imbriqués. Tous corrigés à partir de la version 10.2.3. -
CVE-2026-32141 (CVSS 7.5) provoque un crash Node.js dans
flattedvia une récursion incontrôlée dansparse(), corrigé en 3.4.0. CVE-2026-33228 (CVSS 8.9) touche égalementflattedvia la même fonction : une clé__proto__dans le JSON parsé expose une référence àArray.prototype, permettant à du code aval de polluer le prototype global, avec un risque de déni de service ou d’exécution de code. Cette faille n’est corrigée qu’en 3.4.2 : si vous avez appliqué 3.4.0 ou 3.4.1, vous restez vulnérable. -
GHSA-5c6j-r48x-rmvq (CVSS 8.1) permet une injection de code dans
serialize-javascript(≤ 7.0.2) viaRegExp.flags, exploitable en exécution de code arbitraire si la sortie est évaluée côté serveur, corrigé en 7.0.3.
Des correctifs sont disponibles pour toutes les failles. Lancez npm audit fix pour les résoudre automatiquement, ou ajoutez des overrides dans votre package.json si certaines dépendances transitives résistent. Priorisez GHSA-5c6j, c’est la seule faille d’injection du lot.
Si vous avez d’autres remontées de ce type, n’hésitez pas à m’en faire part via email.
CVE-2026-26996 · CVE-2026-27903 · CVE-2026-27904 · CVE-2026-32141 · CVE-2026-33228 · GHSA-5c6j-r48x-rmvq