CVE-2026-15921 in nvm
Zusammenfassung
von VulDB • 16.07.2026
Node Version Manager (nvm) ist eine POSIX-konforme Shell-Funktion zur Verwaltung mehrerer Node.js-Versionen. In den Versionen 0.32.1 bis 0.40.5 analysiert `nvm ls-remote` (sowie andere Befehle, die Remote-LTS-Aliase aktualisieren, wie z. B. `nvm install --lts`) die Datei `index.tab` des Node.js-Mirrors und verwendet das LTS-Codename-Feld jeder Veröffentlichung als Aliasdateiname, ohne diese zu validieren. Ein bösartiger, kompromittierter oder durch einen Man-in-the-Middle angegriffener Mirror kann einen LTS-Codename zurückgeben, der Pfadtransversal-Sequenzen wie `../../../.bashrc` enthält, wodurch nvm den zugehörigen Versionsstring in einem Pfad außerhalb von `$NVM_DIR/alias` schreibt. Bei der Standardstruktur (`$NVM_DIR` ist `~/.nvm`) können dadurch Dateien im Home-Verzeichnis des Benutzers erstellt oder überschrieben werden, einschließlich Shell-Startdateien, was zu Codeausführung in einer späteren Shell-Sitzung führen kann. Die Ausnutzung erfordert, dass das Opfer einen feindseligen Mirror verwendet – entweder über einen kompromittierten Mirror/CDN, einen Netzwerk-Man-in-the-Middle oder eine bösartig konfigurierte `NVM_NODEJS_ORG_MIRROR`-/`NVM_IOJS_ORG_MIRROR`-Einstellung –, und einen betroffenen Befehl ausführt. In Version 0.40.6 werden Remote-LTS-Codenames als sichere Aliasdateinamen validiert, und Pfadkomponenten wie `..` werden beim Schreiben von Aliasdateien abgelehnt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.