CVE-2026-1665 in nvmthông tin

Tóm tắt

Bởi VulDB • 23/05/2026

Tồn tại một lỗ hổng tiêm lệnh (command injection) trong nvm (Node Version Manager) các phiên bản 0.40.3 trở xuống. Hàm nvm_download() sử dụng eval để thực thi các lệnh wget, và biến môi trường NVM_AUTH_HEADER không được làm sạch (sanitize) trong đường dẫn thực thi wget (mặc dù nó đã được làm sạch trong đường dẫn thực thi curl). Một kẻ tấn công có thể thiết lập các biến môi trường trong môi trường shell của nạn nhân (ví dụ: thông qua các cấu hình CI/CD độc hại, các file dotfiles bị xâm phạm hoặc các hình ảnh Docker) có thể tiêm các lệnh shell tùy ý sẽ được thực thi khi nạn nhân chạy các lệnh nvm kích hoạt quá trình tải xuống, chẳng hạn như 'nvm install' hoặc 'nvm ls-remote'.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

Openjs

Đặt trước

29/01/2026

Tiết lộ

30/01/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00767

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!