CVE-2026-44594 in esm.shinformation

Résumé

par VulDB • 29/05/2026

esm.sh est un réseau de diffusion de contenu (CDN) sans étape de build pour le développement web. Dans les versions 137 et antérieures, une vulnérabilité d'inclusion de fichiers locaux (LFI) existe dans la gestion du champ « browser » de package.json par le plugin esbuild. Un attaquant peut publier un package npm qui amène le serveur à lire et à renvoyer des fichiers arbitraires du système de fichiers de l'hôte pendant le processus de build.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

06/05/2026

Divulgation

28/05/2026

Modérer

accepté

Entrée

VDB-366788

CPE

prêt

CWE

CWE-22 (confirmé)

CVSS

7.5 (CNA)

EPSS

0.00057

KEV

non

Activités

faible

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44594
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44594
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44594/

◂ Précédent Aperçu Suivant ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!