Plateforme
go
Composant
github.com/esm-dev/esm.sh
Corrigé dans
136.0.1
136.0.1
Une vulnérabilité de File Inclusion a été découverte dans esm.sh, une bibliothèque Go. Cette faille permet potentiellement à un attaquant d'inclure des fichiers arbitraires, conduisant à une exécution de code non autorisée. Les versions antérieures à 136.0.1 sont affectées. Une mise à jour vers la version 136.0.1 est recommandée pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter et d'exécuter du code malveillant sur le système cible. Cela peut conduire à la compromission complète du serveur, à la vol de données sensibles, ou à l'utilisation du serveur pour lancer d'autres attaques. Le risque est exacerbé si esm.sh est utilisé dans un contexte de production critique ou si le serveur est exposé à Internet. Un attaquant pourrait exploiter cette faille pour modifier le comportement de l'application, accéder à des informations confidentielles, ou même prendre le contrôle du serveur.
Cette vulnérabilité a été publiée le 24 septembre 2025. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité de File Inclusion et de la disponibilité potentielle de preuves de concept. Il n'y a pas d'indications d'exploitation active à ce jour, mais la vulnérabilité est publique et pourrait être exploitée à l'avenir.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using modern JavaScript build tools and frameworks. Developers who have integrated esm.sh into their workflows should prioritize upgrading to the patched version.
• go / server:
find /path/to/esm.sh -type f -name '*.go' -print0 | xargs -0 grep -i 'include' -A 5• generic web:
curl -I https://your-esm-sh-instance/path/to/vulnerable/file?file=../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
CISA SSVC
La mitigation principale consiste à mettre à jour esm.sh vers la version 136.0.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès aux fichiers sensibles et de mettre en œuvre une validation stricte des entrées utilisateur. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation. Envisagez également de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes.
Actualice a una versión posterior a la 136 de esm.sh. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Consulte el advisory de seguridad en GitHub para obtener más detalles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59341 is a File Inclusion vulnerability in esm.sh, allowing attackers to potentially include arbitrary files and execute malicious code. It is rated HIGH severity (CVSS 7.5).
You are affected if you are using esm.sh versions prior to 136.0.1. Assess your dependencies and upgrade immediately if vulnerable.
Upgrade to version 136.0.1 or later of esm.sh. If immediate upgrade is not possible, implement input validation and consider WAF rules.
No active exploitation has been confirmed as of this writing, but the vulnerability's nature suggests potential for exploitation.
Refer to the esm.sh project's repository and release notes for the official advisory and details on the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.