Plataforma
go
Componente
github.com/esm-dev/esm.sh
Corregido en
136.0.1
0.0.0-20251117232647-9d77b88c3207
El CVE-2025-65025 describe una vulnerabilidad de acceso arbitrario a archivos en el servicio CDN esm.sh, específicamente en el componente github.com/esm-dev/esm.sh. Esta falla permite a un atacante escribir archivos arbitrarios en el sistema, comprometiendo potencialmente la integridad y confidencialidad de los datos. La vulnerabilidad afecta a versiones anteriores a 0.0.0-20251117232647-9d77b88c3207 y ha sido solucionada en la versión indicada.
La vulnerabilidad de acceso arbitrario a archivos en esm.sh permite a un atacante escribir archivos en ubicaciones arbitrarias dentro del sistema. Esto podría resultar en la ejecución remota de código, la modificación de archivos de configuración críticos o la exfiltración de datos sensibles. Un atacante podría aprovechar esta vulnerabilidad para comprometer completamente el servidor CDN y, potencialmente, afectar a todos los usuarios que dependen de él para servir módulos JavaScript. La naturaleza de un CDN implica una amplia superficie de ataque, lo que amplía el potencial impacto de esta vulnerabilidad.
El CVE-2025-65025 fue publicado el 25 de noviembre de 2025. La probabilidad de explotación se considera media debido a la naturaleza de la vulnerabilidad (arbitrary file write) y la amplia adopción de CDN. No se han reportado activamente campañas de explotación a la fecha, pero la disponibilidad de la vulnerabilidad en un CDN ampliamente utilizado la convierte en un objetivo atractivo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Organizations relying on the esm.sh CDN service for delivering JavaScript packages are at risk. This includes developers and teams using Node.js, React, Angular, or other JavaScript-based frameworks. Specifically, those using older versions of the github.com/esm-dev/esm.sh component are vulnerable.
• go: Inspect the github.com/esm-dev/esm.sh component for versions prior to 0.0.0-20251117232647-9d77b88c3207 using go list -m github.com/esm-dev/esm.sh.
• generic web: Monitor CDN logs for unusual file write activity, particularly requests containing suspicious file paths or payloads.
• generic web: Use curl to probe for potential file write endpoints, attempting to write files to unexpected locations. Example: curl -X POST -d '...' <cdn_url>/path/to/potential/write/endpoint
disclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2025-65025 es actualizar a la versión corregida de esm.sh: 0.0.0-20251117232647-9d77b88c3207. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al CDN a través de firewalls y sistemas de detección de intrusiones. Monitorear los registros del CDN en busca de patrones de escritura de archivos inusuales también puede ayudar a detectar y responder a posibles ataques. Verifique después de la actualización que la nueva versión se está utilizando correctamente y que no introduce nuevas incompatibilidades.
Actualice el servicio esm.sh a la versión 136 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que atacantes escriban archivos en ubicaciones arbitrarias en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-65025 is a HIGH severity vulnerability in the esm.sh CDN allowing attackers to write arbitrary files, potentially leading to code execution. It affects versions prior to 0.0.0-20251117232647-9d77b88c3207.
You are affected if you are using the esm.sh CDN and have not upgraded to version 0.0.0-20251117232647-9d77b88c3207 or later. Check your component versions immediately.
Upgrade to version 0.0.0-20251117232647-9d77b88c3207 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file write access or using a WAF.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-65025, but the ease of exploitation suggests it could become a target.
Refer to the official esm.sh documentation and security advisories for the most up-to-date information regarding CVE-2025-65025.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.