Plataforma
go
Componente
github.com/esm-dev/esm.sh
Corregido en
136.0.1
136.0.1
Se ha descubierto una vulnerabilidad de Inclusión de Archivos (File Inclusion) en el componente github.com/esm-dev/esm.sh. Esta falla permite a un atacante incluir archivos arbitrarios, lo que podría resultar en la ejecución de código malicioso. La vulnerabilidad afecta a versiones anteriores a 136.0.1 y ha sido publicada el 24 de septiembre de 2025. Se recomienda actualizar a la versión 136.0.1 para mitigar el riesgo.
La vulnerabilidad de Inclusión de Archivos en github.com/esm-dev/esm.sh representa un riesgo significativo. Un atacante podría explotar esta falla para incluir archivos del sistema de archivos del servidor, lo que les permitiría leer información confidencial, modificar archivos existentes o incluso ejecutar código arbitrario en el servidor. El impacto potencial es la completa toma de control del sistema, la exfiltración de datos sensibles y la interrupción del servicio. La capacidad de ejecutar código arbitrario convierte esta vulnerabilidad en una amenaza de alta prioridad, similar a otras vulnerabilidades de inclusión de archivos que han permitido a los atacantes comprometer sistemas críticos.
La vulnerabilidad CVE-2025-59341 fue publicada el 24 de septiembre de 2025. No se ha añadido a la lista KEV de CISA ni se ha determinado un puntaje EPSS. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de Inclusión de Archivos la convierte en un objetivo potencial para la explotación. Se recomienda monitorear activamente los registros y aplicar las mitigaciones recomendadas.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using modern JavaScript build tools and frameworks. Developers who have integrated esm.sh into their workflows should prioritize upgrading to the patched version.
• go / server:
find /path/to/esm.sh -type f -name '*.go' -print0 | xargs -0 grep -i 'include' -A 5• generic web:
curl -I https://your-esm-sh-instance/path/to/vulnerable/file?file=../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
La mitigación principal para CVE-2025-59341 es actualizar a la versión 136.0.1 de github.com/esm-dev/esm.sh. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar el acceso a los archivos del sistema de archivos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten incluir archivos no autorizados. Monitorear los registros del servidor en busca de patrones sospechosos de inclusión de archivos también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la mitigación verificando que los archivos no autorizados ya no puedan ser incluidos.
Actualice a una versión posterior a la 136 de esm.sh. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Consulte el advisory de seguridad en GitHub para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59341 is a File Inclusion vulnerability in esm.sh, allowing attackers to potentially include arbitrary files and execute malicious code. It is rated HIGH severity (CVSS 7.5).
You are affected if you are using esm.sh versions prior to 136.0.1. Assess your dependencies and upgrade immediately if vulnerable.
Upgrade to version 136.0.1 or later of esm.sh. If immediate upgrade is not possible, implement input validation and consider WAF rules.
No active exploitation has been confirmed as of this writing, but the vulnerability's nature suggests potential for exploitation.
Refer to the esm.sh project's repository and release notes for the official advisory and details on the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.