Plataforma
nodejs
Componente
@google/clasp
Corregido en
3.2.1
3.2.0
La vulnerabilidad CVE-2026-4092 es un fallo de Path Traversal descubierto en el paquete @google/clasp para Node.js. Este fallo permite a un atacante modificar archivos fuera del directorio del proyecto, lo que podría resultar en la ejecución de código malicioso en la máquina del desarrollador. La vulnerabilidad afecta a versiones anteriores a 3.2.0 y se ha solucionado en esta versión.
La principal consecuencia de este Path Traversal es la posibilidad de que un atacante modifique archivos arbitrarios en el sistema de archivos del desarrollador. Esto podría incluir la modificación de archivos de configuración, la inyección de código malicioso en scripts existentes o incluso la ejecución de comandos arbitrarios con los privilegios del usuario que ejecuta el comando clasp. Un atacante podría, por ejemplo, sobrescribir un script de inicio para inyectar código malicioso que se ejecute cada vez que se inicie la aplicación. La severidad de este impacto depende de los permisos del usuario que ejecuta el comando clasp y de la sensibilidad de los archivos que se puedan modificar.
La vulnerabilidad fue publicada el 13 de marzo de 2026. No se han reportado campañas de explotación activas conocidas al momento de la publicación. No se ha añadido a la lista KEV de CISA. La existencia de un Proof of Concept (PoC) público podría facilitar la explotación de esta vulnerabilidad.
Developers using @google/clasp to develop Google Apps Script projects are at risk, particularly those who frequently clone or pull scripts from external sources or use older, unpatched versions of the library. Shared hosting environments where multiple developers use the same @google/clasp installation are also at increased risk.
• nodejs / clasp:
find / -name clasp.cmd -o -name clasp.sh -print0 | xargs -0 grep -i 'pull|clone' • nodejs / clasp: Check for unusual files or modifications within the Google Apps Script project directories after a pull or clone operation.
• nodejs / clasp: Review the output of npm audit for vulnerabilities in dependencies used by the project.
disclosure
Estado del Exploit
EPSS
1.03% (77% percentil)
CISA SSVC
La solución principal es actualizar el paquete @google/clasp a la versión 3.2.0 o superior. Si la actualización no es inmediatamente posible, se recomienda tomar medidas de mitigación adicionales. Es crucial revisar cuidadosamente los archivos modificados después de ejecutar los comandos pull o clone para verificar que solo se modifican los archivos esperados del proyecto. Además, solo clone o pull scripts de fuentes de confianza para minimizar el riesgo de introducir código malicioso en el proyecto. Implementar un sistema de control de versiones robusto también puede ayudar a detectar y revertir modificaciones no autorizadas.
Actualice Clasp a la versión 3.2.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. Puede actualizar Clasp utilizando el gestor de paquetes npm con el comando `npm install -g @google/clasp`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4092 is a Path Traversal vulnerability in @google/clasp versions before 3.2.0, allowing attackers to modify files outside the project directory.
You are affected if you are using @google/clasp versions prior to 3.2.0 and clone or pull scripts from untrusted sources.
Upgrade to @google/clasp version 3.2.0 or later. As a temporary workaround, carefully review files modified by pull and clone commands.
There is currently no indication of active exploitation in the wild or public proof-of-concept code.
Refer to the @google/clasp release notes and security advisories on the Google Developers website for details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.