CVE-2026-1665 in nvm
Riassunto
di VulDB • 18/06/2026
È presente una vulnerabilità di command injection in nvm (Node Version Manager) versioni 0.40.3 e precedenti. La funzione nvm_download() utilizza eval per eseguire comandi wget, e la variabile d'ambiente NVM_AUTH_HEADER non è stata sanitizzata nel percorso di esecuzione del codice wget (sebbene fosse sanitizzata nel percorso curl). Un attaccante in grado di impostare variabili d'ambiente nell'ambiente shell della vittima (ad esempio tramite configurazioni CI/CD malevole, dotfiles compromessi o immagini Docker) può iniettare comandi shell arbitrari che vengono eseguiti quando la vittima avvia comandi nvm che attivano download, come 'nvm install' o 'nvm ls-remote'.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.