Plataforma
nodejs
Componente
@nestjs/devtools-integration
Corregido en
0.2.2
0.2.1
Se ha descubierto una vulnerabilidad crítica de Ejecución Remota de Código (RCE) en el paquete @nestjs/devtools-integration. Cuando está habilitado, el paquete expone un servidor HTTP de desarrollo local con un punto final de API que utiliza una implementación de sandbox JavaScript insegura. Esta falla de seguridad permite que sitios web maliciosos ejecuten código arbitrario en la máquina local del desarrollador, comprometiendo la seguridad del entorno de desarrollo. La vulnerabilidad afecta a versiones anteriores a 0.2.1 y se recomienda actualizar inmediatamente.
La gravedad de esta vulnerabilidad radica en su capacidad para permitir la ejecución remota de código. Un atacante puede explotar esta falla a través de un sitio web malicioso visitado por un desarrollador que tenga @nestjs/devtools-integration habilitado. Al visitar dicho sitio, el atacante podría inyectar código JavaScript que se ejecutaría con los privilegios del usuario del desarrollador en su máquina local. Esto podría resultar en el robo de información confidencial, la instalación de malware o el control completo del sistema. La falta de protecciones de origen cruzado agrava aún más el riesgo, facilitando la explotación desde cualquier dominio. Este escenario es particularmente preocupante dado que los desarrolladores a menudo tienen acceso a sistemas críticos y datos sensibles.
Esta vulnerabilidad ha sido ampliamente publicitada y documentada en el blog de Socket. Aunque no se ha confirmado la explotación activa en entornos de producción, la disponibilidad de información detallada sobre la vulnerabilidad y su fácil explotación la convierten en un objetivo atractivo para los atacantes. La puntuación CVSS de 9.5 indica una alta probabilidad de explotación. Se recomienda monitorear de cerca los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible.
Estado del Exploit
EPSS
24.36% (96% percentil)
CISA SSVC
La mitigación principal es actualizar el paquete @nestjs/devtools-integration a la versión 0.2.1 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar el paquete @nestjs/devtools-integration hasta que se pueda realizar la actualización. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas dirigidas al punto final vulnerable. Además, se debe educar a los desarrolladores sobre los riesgos de visitar sitios web no confiables y sobre la importancia de mantener sus dependencias actualizadas. Después de la actualización, confirme la mitigación revisando los registros del servidor para detectar cualquier actividad sospechosa.
Actualice el paquete @nestjs/devtools-integration a la versión 0.2.1 o superior. Esto corrige la vulnerabilidad de ejecución remota de código. Ejecute `npm install @nestjs/devtools-integration@latest` o `yarn add @nestjs/devtools-integration@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54782 is a critical Remote Code Execution vulnerability in the @nestjs/devtools-integration package. It allows malicious websites to execute code on a developer's machine if the package is enabled and vulnerable versions are in use.
You are affected if you are using @nestjs/devtools-integration versions prior to 0.2.1 and have the module enabled. Check your project's dependencies and configuration to determine if you are vulnerable.
Upgrade the @nestjs/devtools-integration package to version 0.2.1 or later. If upgrading is not immediately possible, disable the module entirely.
While no active campaigns have been publicly reported as of August 1, 2025, the vulnerability's simplicity suggests it could be rapidly incorporated into exploit kits.
Refer to the Socket blog post detailing the vulnerability: https://socket.dev/blog/nestjs-rce-vuln. Check the NestJS GitHub repository and official documentation for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.