CVE-2026-1665 in nvminformazioni

Riassunto

di VulDB • 18/06/2026

È presente una vulnerabilità di command injection in nvm (Node Version Manager) versioni 0.40.3 e precedenti. La funzione nvm_download() utilizza eval per eseguire comandi wget, e la variabile d'ambiente NVM_AUTH_HEADER non è stata sanitizzata nel percorso di esecuzione del codice wget (sebbene fosse sanitizzata nel percorso curl). Un attaccante in grado di impostare variabili d'ambiente nell'ambiente shell della vittima (ad esempio tramite configurazioni CI/CD malevole, dotfiles compromessi o immagini Docker) può iniettare comandi shell arbitrari che vengono eseguiti quando la vittima avvia comandi nvm che attivano download, come 'nvm install' o 'nvm ls-remote'.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Openjs

Prenotare

29/01/2026

Divulgazione

30/01/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00767

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!