Plataforma
nodejs
Componente
browserstack-local
Corregido en
1.5.9
Se ha identificado una vulnerabilidad de inyección de comandos en el paquete Node.js browserstack-local versiones anteriores a 1.5.9. Esta falla se debe a una sanitización incorrecta de la variable logfile en el archivo lib/Local.js, lo que permite a un atacante ejecutar comandos arbitrarios en el sistema. La explotación exitosa de esta vulnerabilidad podría resultar en la toma de control del sistema afectado y el acceso no autorizado a datos sensibles. Se recomienda actualizar a la versión 1.5.9 para mitigar el riesgo.
La vulnerabilidad de inyección de comandos en browserstack-local presenta un riesgo significativo. Un atacante podría aprovechar esta falla para ejecutar comandos del sistema operativo con los privilegios del proceso browserstack-local. Esto podría incluir la lectura, modificación o eliminación de archivos, la instalación de malware, o incluso la toma de control completa del sistema. El impacto potencial se amplifica si browserstack-local se ejecuta con privilegios elevados o en un entorno con acceso a recursos críticos. La falta de sanitización adecuada de la entrada del usuario permite la inyección de comandos maliciosos, similar a otras vulnerabilidades de inyección de comandos que han afectado a diversas aplicaciones y sistemas.
La vulnerabilidad CVE-2025-57283 ha sido publicada el 2026-01-28. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de inyección de comandos la hace susceptible a explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas en busca de nuevas informaciones sobre esta vulnerabilidad.
Organizations and developers utilizing browserstack-local in their Node.js projects, particularly those involved in automated testing and continuous integration/continuous delivery (CI/CD) pipelines, are at risk. Shared hosting environments where browserstack-local is installed could also be vulnerable.
• nodejs / supply-chain:
npm list browserstack-local
npm audit browserstack-local• nodejs / supply-chain:
find node_modules -name "Local.js" -print0 | xargs -0 grep "logfile"• generic web:
Inspect the package.json file for the browserstack-local dependency and its version. Check for any unusual or unexpected commands being executed within the lib/Local.js file.
disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.5.9 de browserstack-local, donde se ha corregido la falla de inyección de comandos. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos del proceso browserstack-local al mínimo necesario, y monitorear los registros del sistema en busca de actividades sospechosas. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la variable logfile. La verificación de la corrección se puede realizar después de la actualización, confirmando que la variable logfile se sanitiza correctamente y que no se pueden ejecutar comandos arbitrarios.
Actualice el paquete browserstack-local a una versión posterior a 1.5.8 que corrija la vulnerabilidad de inyección de comandos. Consulte las notas de la versión del paquete o el repositorio para obtener más detalles sobre la corrección. Como medida temporal, evite pasar datos no saneados a la variable logfile.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-57283 is a command injection vulnerability in the browserstack-local Node.js package, allowing attackers to execute arbitrary commands due to improper sanitization of the logfile variable.
You are affected if you are using browserstack-local versions prior to 1.5.9. Check your package.json file to determine your current version.
Upgrade to browserstack-local version 1.5.9 or later using npm install browserstack-local@latest. If upgrading is not immediately possible, restrict network access to the affected system.
Currently, there are no known public exploits or active campaigns targeting CVE-2025-57283, but the vulnerability's nature suggests a potential risk.
Refer to the official browserstack security advisory for detailed information and updates regarding CVE-2025-57283.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.