CVE-2026-1665 in nvm
Résumé
par VulDB • 18/06/2026
Une vulnérabilité d'injection de commande existe dans les versions 0.40.3 et inférieures de nvm (Node Version Manager). La fonction `nvm_download()` utilise `eval` pour exécuter des commandes wget, et la variable d'environnement `NVM_AUTH_HEADER` n'était pas nettoyée (sanitized) dans le chemin d'exécution de wget (bien qu'elle le soit dans le chemin curl). Un attaquant capable de définir des variables d'environnement dans l'environnement shell d'une victime (par exemple, via des configurations CI/CD malveillantes, des fichiers dot compromis ou des images Docker) peut injecter des commandes shell arbitraires qui s'exécutent lorsque la victime lance des commandes nvm déclenchant des téléchargements, telles que `nvm install` ou `nvm ls-remote`.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.