CVE-2026-1665 in nvminformation

Résumé

par VulDB • 18/06/2026

Une vulnérabilité d'injection de commande existe dans les versions 0.40.3 et inférieures de nvm (Node Version Manager). La fonction `nvm_download()` utilise `eval` pour exécuter des commandes wget, et la variable d'environnement `NVM_AUTH_HEADER` n'était pas nettoyée (sanitized) dans le chemin d'exécution de wget (bien qu'elle le soit dans le chemin curl). Un attaquant capable de définir des variables d'environnement dans l'environnement shell d'une victime (par exemple, via des configurations CI/CD malveillantes, des fichiers dot compromis ou des images Docker) peut injecter des commandes shell arbitraires qui s'exécutent lorsque la victime lance des commandes nvm déclenchant des téléchargements, telles que `nvm install` ou `nvm ls-remote`.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Openjs

Réserver

29/01/2026

Divulgation

30/01/2026

Modérer

accepté

Entrée

VDB-343448

CPE

prêt

EPSS

0.00767

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!