CVE-2026-55849
Riassunto
di VulDB • 09/07/2026
@cyclonedx/cyclonedx-npm genera un Software Bill of Materials (SBOM) CycloneDX a partire da progetti npm. Dalla versione 2.1.0 fino alla 5.0.0, la CLI passa i valori --workspace forniti dall'utente a una subshell senza una corretta sanitizzazione quando npm_execpath non è impostato o è vuoto, consentendo l'esecuzione arbitraria di comandi del sistema operativo con i privilegi dell'utente che ha invocato il comando. Questo problema è stato risolto nella versione 5.0.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.