Node.js sur Windows : escalade de privilèges via résolution de modules non contrôlée (Discord, npm CLI)
🔍 Contexte Publié le 8 avril 2026 par Bobby Gould et Michael DePlante sur le blog de la Zero Day Initiative (ZDI), cet article détaille une vulnérabilité structurelle dans la résolution de modules Node.js sur Windows, initialement signalée en septembre 2024 par un chercheur anonyme. ⚙️ Cause racine Lorsqu’une application Node.js appelle require('bar'), le runtime parcourt une liste de chemins jusqu’à atteindre C:\node_modules. Sur Windows, tout utilisateur peu privilégié peut créer ce répertoire et y déposer un module malveillant. Si la dépendance légitime est absente (optionnelle, supprimée en production, ou non installée), Node.js charge et exécute le fichier malveillant dans le contexte de l’utilisateur courant. ...