Plataforma
go
Componente
github.com/esm-dev/esm.sh
Corregido en
0.0.1
136.0.1
La vulnerabilidad CVE-2026-23644 es un fallo de recorrido de directorios (Path Traversal) en el componente github.com/esm-dev/esm.sh. Esta falla permite a un atacante acceder a archivos arbitrarios en el sistema subyacente. Afecta a versiones de esm.sh menores o iguales a 136, y la corrección implementada en un commit reciente no es efectiva, dejando la vulnerabilidad persistente.
Un atacante puede explotar esta vulnerabilidad para leer archivos confidenciales en el servidor donde se ejecuta esm.sh. Esto podría incluir claves API, contraseñas, información de configuración o incluso código fuente. La capacidad de leer archivos arbitrarios permite un amplio rango de ataques, desde la exfiltración de datos sensibles hasta la ejecución remota de código si se combinan con otras vulnerabilidades. La falta de una corrección efectiva amplifica el riesgo, ya que los sistemas que confían en esm.sh podrían estar expuestos sin saberlo.
La vulnerabilidad fue publicada el 20 de enero de 2026. Existe un Proof of Concept (PoC) disponible que demuestra la posibilidad de recorrido de directorios. La falta de una corrección efectiva sugiere que la vulnerabilidad podría ser objeto de explotación activa. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de ataque dirigidas a esta vulnerabilidad.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using esm.sh as a CDN or module resolver. Developers who have integrated esm.sh into their build processes or deployment pipelines should prioritize upgrading to the patched version.
• linux / server:
journalctl -u esm.sh -f | grep -i "path traversal"• generic web:
curl -I <esm.sh_endpoint> | grep -i "path traversal"disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Dado que la corrección original es ineficaz, la mitigación principal es actualizar a la versión 0.0.0-20260116051925-c62ab83c589e. Si la actualización no es posible de inmediato, se recomienda implementar una validación de rutas robusta en el código de esm.sh para prevenir el acceso a archivos fuera del directorio esperado. Además, se debe revisar la configuración del servidor para asegurar que los permisos de archivo sean restrictivos y que no se permita el acceso a directorios sensibles. Monitorear los registros del servidor en busca de intentos de acceso a archivos inusuales también puede ayudar a detectar y responder a posibles ataques.
Actualice el paquete esm.sh a la versión 0.0.0-20260116051925-c62ab83c589e o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura de archivos desde paquetes maliciosos. Utilice el gestor de paquetes npm o yarn para realizar la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23644 is a Path Traversal vulnerability in esm.sh affecting versions up to 136. It allows attackers to potentially access arbitrary files by crafting malicious tar archives.
You are affected if you are using esm.sh version 136 or earlier. Check your project dependencies to determine if you are using a vulnerable version.
Upgrade to version 0.0.0-20260116051925-c62ab83c589e or later. If immediate upgrade is not possible, consider temporary workarounds like restricting file types.
While there's no confirmed widespread exploitation, a public proof-of-concept exists, indicating a potential for active exploitation.
Refer to the esm.sh GitHub repository for updates and advisories related to CVE-2026-23644: https://github.com/esm-dev/esm.sh
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.