nvm-sh nvm до 0.40.3 Environment Variable nvm_download NVM_AUTH_HEADER эскалация привилегий
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 7.5 | $0-$5k | 0.00 |
Сводка
Зафиксирована уязвимость, классифицируемая как критический, в nvm-sh nvm до 0.40.3. Затронута функция nvm_download компонента Environment Variable Handler. Манипуляция аргументом NVM_AUTH_HEADER приводит к эскалация привилегий.
Эта уязвимость проходит под номером CVE-2026-1665. Атаковать локально - это обязательное условие. Эксплойт недоступен.
Рекомендуется выполнить обновление уязвимого компонента.
Подробности
Зафиксирована уязвимость, классифицируемая как критический, в nvm-sh nvm до 0.40.3. Затронута функция nvm_download компонента Environment Variable Handler. Манипуляция аргументом NVM_AUTH_HEADER приводит к эскалация привилегий. Использование классификатора CWE для обозначения проблемы ведет к CWE-78. Слабость была опубликована под идентификатором 44e2590cdf257faf7d885e4470be8dc66cec9506. Консультация представлена на сайте github.com.
Эта уязвимость проходит под номером CVE-2026-1665. Присвоение CVE было выполнено 29.01.2026. Атаковать локально - это обязательное условие. Технические детали доступны. Популярность этой уязвимости ниже среднего. Эксплойт недоступен. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Проект MITRE ATT&CK использует технику атаки T1202 для этой проблемы.
Это объявлено как Не определено.
Установка версии 0.40.4 позволяет решить данный вопрос. Последняя версия доступна для скачивания по ссылке github.com. Название патча следующее 44e2590cdf257faf7d885e4470be8dc66cec9506. Патч можно скачать на github.com. Рекомендуется выполнить обновление уязвимого компонента.
Продукт
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Продукт: https://github.com/nvm-sh/nvm/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔒VulDB Надёжность: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Вектор: 🔒
CVSSv3
VulDB Meta Base Score: 7.8VulDB Meta Temp Score: 7.5
VulDB Базовый балл: 7.8
VulDB Временная оценка: 7.5
VulDB Вектор: 🔒
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
Физический: Частично
Локальный: Да
Удалённый: Частично
Доступность: 🔒
Статус: Не определено
EPSS Score: 🔒
EPSS Percentile: 🔒
Прогноз цен: 🔍
Оценка текущей цены: 🔒
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔒
Обновление: nvm 0.40.4
Патч: 44e2590cdf257faf7d885e4470be8dc66cec9506
Хронология
29.01.2026 CVE присвоен30.01.2026 Консультация опубликована
30.01.2026 Запись VulDB создана
05.02.2026 Последнее обновление VulDB
Источники
Продукт: github.comКонсультация: 44e2590cdf257faf7d885e4470be8dc66cec9506
Статус: Подтверждённый
CVE: CVE-2026-1665 (🔒)
GCVE (CVE): GCVE-0-2026-1665
GCVE (VulDB): GCVE-100-343448
Вход
Создано: 30.01.2026 08:02Обновлено: 05.02.2026 05:52
Изменения: 30.01.2026 08:02 (73), 05.02.2026 05:52 (1)
Завершенный: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.