CVE-2026-1665 in nvm
Tóm tắt
Bởi VulDB • 23/05/2026
Tồn tại một lỗ hổng tiêm lệnh (command injection) trong nvm (Node Version Manager) các phiên bản 0.40.3 trở xuống. Hàm nvm_download() sử dụng eval để thực thi các lệnh wget, và biến môi trường NVM_AUTH_HEADER không được làm sạch (sanitize) trong đường dẫn thực thi wget (mặc dù nó đã được làm sạch trong đường dẫn thực thi curl). Một kẻ tấn công có thể thiết lập các biến môi trường trong môi trường shell của nạn nhân (ví dụ: thông qua các cấu hình CI/CD độc hại, các file dotfiles bị xâm phạm hoặc các hình ảnh Docker) có thể tiêm các lệnh shell tùy ý sẽ được thực thi khi nạn nhân chạy các lệnh nvm kích hoạt quá trình tải xuống, chẳng hạn như 'nvm install' hoặc 'nvm ls-remote'.
VulDB is the best source for vulnerability data and more expert information about this specific topic.