CVE-2026-1665 in nvm
Resumen
por MITRE • 2026-01-30
Una vulnerabilidad de inyección de comandos existe en nvm (Node Version Manager) versiones 0.40.3 e inferiores. La función nvm_download() utiliza eval para ejecutar comandos wget, y la variable de entorno NVM_AUTH_HEADER no fue saneada en la ruta de código de wget (aunque sí fue saneada en la ruta de código de curl). Un atacante que puede establecer variables de entorno en el entorno de shell de una víctima (por ejemplo, a través de configuraciones maliciosas de CI/CD, dotfiles comprometidos o imágenes de Docker) puede inyectar comandos de shell arbitrarios que se ejecutan cuando la víctima ejecuta comandos nvm que activan descargas, como 'nvm install' o 'nvm ls-remote'.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.