Plataforma
nodejs
Componente
lightning-flow-scanner
Corregido en
6.10.7
6.10.6
La vulnerabilidad CVE-2025-67750 es una ejecución remota de código (RCE) presente en el componente lightning-flow-scanner. Esta falla permite a un atacante ejecutar código JavaScript arbitrario durante el proceso de escaneo, lo que podría resultar en la comprometer la seguridad de las máquinas de los desarrolladores, los entornos de CI/CD o los editores. La vulnerabilidad se soluciona con la actualización a la versión 6.10.6.
El impacto de esta vulnerabilidad es significativo, ya que permite la ejecución de código arbitrario. Un atacante podría, por ejemplo, inyectar código malicioso en un archivo de metadatos de flujo, que luego sería ejecutado durante el escaneo. Esto podría permitir al atacante robar información confidencial, instalar malware, o incluso tomar el control completo del sistema afectado. La ejecución del código se realiza a través del uso de new Function(), lo que facilita la inyección de código malicioso. La superficie de ataque incluye tanto las máquinas de desarrollo como los entornos de integración continua, lo que amplía el potencial de daño.
La vulnerabilidad CVE-2025-67750 fue publicada el 12 de diciembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad a la fecha, pero la naturaleza de la RCE sugiere un riesgo considerable. La existencia de un vector de ataque basado en archivos de metadatos de flujo facilita la explotación, y la falta de una mitigación adecuada podría llevar a ataques dirigidos. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
Developers using lightning-flow-scanner in their development workflows are at significant risk. This includes teams utilizing CI/CD pipelines that incorporate the scanner, as well as developers using code editors or IDEs that integrate with the component. Shared hosting environments where multiple developers share the same instance of the scanner are particularly vulnerable.
• nodejs: Monitor process execution for unusual JavaScript activity. Use ps aux | grep node to identify running instances of lightning-flow-scanner. Examine the command-line arguments for suspicious flow metadata files.
• nodejs: Inspect the lightning-flow-scanner module's source code for the presence of new Function() calls, particularly within the APIVersion rule.
• generic web: If the scanner is exposed via a web interface, monitor access logs for requests containing unusual or malformed flow metadata. Look for POST requests to endpoints that process flow files.
• generic web: Check for unexpected JavaScript execution in the browser's developer console when interacting with the scanner's web interface.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-67750 es actualizar a la versión 6.10.6 de lightning-flow-scanner. Si la actualización no es inmediatamente posible, se recomienda revisar y validar cuidadosamente todos los archivos de metadatos de flujo antes de su uso. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. La implementación de un entorno de ejecución con privilegios mínimos también puede ayudar a limitar el impacto de una posible explotación. Verifique después de la actualización que el escaneo de flujos se realiza correctamente sin errores y que no se detecta la ejecución de código no autorizado.
Actualice la versión de lightning-flow-scanner a la versión 6.10.6 o superior. Esto se puede hacer a través de npm o yarn, dependiendo de su gestor de paquetes. Ejecute `npm install lightning-flow-scanner@latest` o `yarn upgrade lightning-flow-scanner` para obtener la versión corregida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67750 is a Remote Code Execution (RCE) vulnerability in lightning-flow-scanner where malicious flow metadata can trigger arbitrary JavaScript execution during scanning.
You are affected if you are using a version of lightning-flow-scanner prior to 6.10.6 and are processing untrusted flow metadata files.
Upgrade to version 6.10.6 or later of lightning-flow-scanner to remediate the vulnerability. This removes the vulnerable code and implements a safer parser.
While there are no confirmed reports of active exploitation, the vulnerability's nature and potential impact suggest a risk of exploitation.
Refer to the official lightning-flow-scanner project's release notes or security advisories for details on the fix and further information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.