Résumé
Le 22 janvier 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans eslint-config-prettier (lié à Prettier), un outil pour formater le code.
Référencée sous CVE-2025-54313, cette vulnérabilité contient du code malveillant intégré : lors de l’installation du package affecté, un fichier install.js s’exécute et lance le malware node-gyp.dll sur Windows, infectant potentiellement votre machine.
Solutions
Il est recommandé d’appliquer les correctifs du fournisseur.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 7.5
EPSS : 0.02%
Risques : Exécution de malware embarqué (supply chain attack)
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- eslint-config-prettier 8.10.1, 9.1.1, 10.1.6, et 10.1.7
Documentation
- Références :
https://www.npmjs.com/package/eslint-config-prettier?activeTab=versions
https://github.com/prettier/eslint-config-prettier/issues/339#issuecomment-3090304490
- Détails NIST CVE :
https://nvd.nist.gov/vuln/detail/CVE-2025-54313
- CVE Details :
https://www.cvedetails.com/cve/CVE-2025-54313/
- CWE :
https://www.cvedetails.com/cwe-details/506/Embedded-Malicious-Code.html