CVE-2026-1665 in nvminformación

Resumen

por MITRE • 2026-01-30

Una vulnerabilidad de inyección de comandos existe en nvm (Node Version Manager) versiones 0.40.3 e inferiores. La función nvm_download() utiliza eval para ejecutar comandos wget, y la variable de entorno NVM_AUTH_HEADER no fue saneada en la ruta de código de wget (aunque sí fue saneada en la ruta de código de curl). Un atacante que puede establecer variables de entorno en el entorno de shell de una víctima (por ejemplo, a través de configuraciones maliciosas de CI/CD, dotfiles comprometidos o imágenes de Docker) puede inyectar comandos de shell arbitrarios que se ejecutan cuando la víctima ejecuta comandos nvm que activan descargas, como 'nvm install' o 'nvm ls-remote'.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Openjs

Reservar

2026-01-29

Divulgación

2026-01-30

Moderación

aceptado

Artículo

VDB-343448

CPE

listo

EPSS

0.00767

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!