CVE-2026-15921 in nvminfo

Zusammenfassung

von VulDB • 16.07.2026

Node Version Manager (nvm) ist eine POSIX-konforme Shell-Funktion zur Verwaltung mehrerer Node.js-Versionen. In den Versionen 0.32.1 bis 0.40.5 analysiert `nvm ls-remote` (sowie andere Befehle, die Remote-LTS-Aliase aktualisieren, wie z. B. `nvm install --lts`) die Datei `index.tab` des Node.js-Mirrors und verwendet das LTS-Codename-Feld jeder Veröffentlichung als Aliasdateiname, ohne diese zu validieren. Ein bösartiger, kompromittierter oder durch einen Man-in-the-Middle angegriffener Mirror kann einen LTS-Codename zurückgeben, der Pfadtransversal-Sequenzen wie `../../../.bashrc` enthält, wodurch nvm den zugehörigen Versionsstring in einem Pfad außerhalb von `$NVM_DIR/alias` schreibt. Bei der Standardstruktur (`$NVM_DIR` ist `~/.nvm`) können dadurch Dateien im Home-Verzeichnis des Benutzers erstellt oder überschrieben werden, einschließlich Shell-Startdateien, was zu Codeausführung in einer späteren Shell-Sitzung führen kann. Die Ausnutzung erfordert, dass das Opfer einen feindseligen Mirror verwendet – entweder über einen kompromittierten Mirror/CDN, einen Netzwerk-Man-in-the-Middle oder eine bösartig konfigurierte `NVM_NODEJS_ORG_MIRROR`-/`NVM_IOJS_ORG_MIRROR`-Einstellung –, und einen betroffenen Befehl ausführt. In Version 0.40.6 werden Remote-LTS-Codenames als sichere Aliasdateinamen validiert, und Pfadkomponenten wie `..` werden beim Schreiben von Aliasdateien abgelehnt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

Harborist

Reservieren

15.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379467

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!