Plataforma
nodejs
Componente
elysia
Corregido en
1.4.19
1.4.18
La vulnerabilidad CVE-2025-66457 afecta a Elysia, un framework web para Node.js. Permite la ejecución arbitraria de código debido a una falla en la sanitización de la configuración de cookies dinámicas. Esta vulnerabilidad, combinada con GHSA-hxj9-33pp-j2cc, puede resultar en una cadena de RCE completa. La versión afectada es cualquier versión anterior a 1.4.18, y la solución recomendada es actualizar a la versión 1.4.18 o superior.
El impacto principal de esta vulnerabilidad radica en la posibilidad de ejecución remota de código (RCE). Un atacante con acceso de escritura a la configuración de cookies o al código fuente de la aplicación Elysia puede inyectar código malicioso que se ejecutará con los privilegios del proceso de la aplicación. La combinación con GHSA-hxj9-33pp-j2cc amplifica significativamente el riesgo, permitiendo a los atacantes obtener control total sobre el servidor. Esto podría resultar en la exfiltración de datos sensibles, la modificación de la aplicación o el uso del servidor como punto de apoyo para ataques posteriores.
La disponibilidad de esta vulnerabilidad es relativamente baja, ya que requiere acceso de escritura a la configuración de cookies o al código fuente de la aplicación. Sin embargo, su combinación con GHSA-hxj9-33pp-j2cc la convierte en un riesgo significativo. No se han reportado campañas de explotación activas conocidas al momento de la publicación (2025-12-09), pero la existencia de un proof-of-concept público podría cambiar esta situación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Applications built using Elysia framework, particularly those that dynamically configure cookies based on user input or external sources, are at significant risk. Development teams using older versions of Elysia and those with inadequate access controls on their application configuration files are especially vulnerable.
• nodejs / server:
ps aux | grep elysia
find / -name 'elysia.config.mjs' -print• nodejs / server:
npm list elysia
npm audit elysia• generic web: Inspect cookie configuration files for unusual or unexpected code patterns. Review application logs for any errors related to cookie parsing or configuration loading.
disclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
La mitigación principal para CVE-2025-66457 es actualizar Elysia a la versión 1.4.18 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, deshabilitar las cookies dinámicas es una medida temporal. Además, se recomienda revisar la configuración de seguridad del servidor y aplicar políticas de control de acceso estrictas para limitar el acceso de escritura a la configuración de cookies y al código fuente de la aplicación. Después de la actualización, confirme la mitigación revisando los logs de la aplicación en busca de intentos de inyección de código.
Actualice la versión de Elysia a la 1.4.18 o superior. Esta versión corrige la vulnerabilidad de inyección de código arbitrario a través de la configuración de cookies. La actualización previene la ejecución de código no deseado al procesar la configuración de las cookies.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66457 is a Remote Code Execution vulnerability in the Elysia Node.js framework. It allows attackers to execute arbitrary code due to insufficient sanitization of dynamic cookie configurations.
You are affected if you are using Elysia versions 1.4.17 or earlier and have enabled dynamic cookies. Check your version and upgrade immediately.
Upgrade to Elysia version 1.4.18 or later. If immediate upgrade is not possible, restrict write access to the cookie configuration file and implement strict input validation.
While active exploitation is not currently confirmed, the RCE nature of the vulnerability suggests it is likely to be targeted, and PoCs are expected to emerge.
Refer to the Elysia project's official website and GitHub repository for the latest security advisories and updates regarding CVE-2025-66457.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.