Plateforme
go
Composant
github.com/esm-dev/esm.sh
Corrigé dans
0.0.1
136.0.1
La vulnérabilité CVE-2026-23644 est une faille de traversal de chemin (Path Traversal) affectant la bibliothèque github.com/esm-dev/esm.sh dans les versions inférieures ou égales à 136. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le système en manipulant le chemin d'accès dans une tarball malveillante. Bien qu'une correction ait été initialement publiée, elle ne résout pas complètement le problème. Une mise à jour vers la version 0.0.0-20260116051925-c62ab83c589e est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles situés en dehors du répertoire prévu par l'application. En incluant des chemins absolus ou des séquences de traversal de chemin (par exemple, ../..) dans une tarball, un attaquant peut potentiellement accéder à des fichiers de configuration, des clés privées, des données sensibles ou même exécuter du code arbitraire si le système est configuré de manière à permettre l'exécution de code à partir de fichiers extraits. Le risque est exacerbé si l'application est utilisée dans un environnement où elle a accès à des ressources partagées ou à des données critiques. Cette vulnérabilité présente un risque élevé car elle peut être exploitée sans authentification.
Cette vulnérabilité a été divulguée publiquement le 2026-01-20. Un proof-of-concept (PoC) a été fourni, démontrant la possibilité d'exploiter la faille. Bien qu'il n'y ait pas d'indications d'exploitation active à ce jour, la disponibilité d'un PoC public augmente le risque d'exploitation. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using esm.sh as a CDN or module resolver. Developers who have integrated esm.sh into their build processes or deployment pipelines should prioritize upgrading to the patched version.
• linux / server:
journalctl -u esm.sh -f | grep -i "path traversal"• generic web:
curl -I <esm.sh_endpoint> | grep -i "path traversal"disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque github.com/esm-dev/esm.sh vers la version corrigée 0.0.0-20260116051925-c62ab83c589e. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à valider et à nettoyer rigoureusement tous les chemins d'accès fournis par l'utilisateur avant de les utiliser pour extraire des tarballs. L'utilisation d'un WAF (Web Application Firewall) peut également aider à bloquer les requêtes malveillantes contenant des séquences de traversal de chemin. Il est également recommandé de restreindre les permissions du processus exécutant l'application pour limiter l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez l'intégrité de l'installation en testant l'extraction de tarballs avec des chemins d'accès potentiellement malveillants.
Actualice el paquete esm.sh a la versión 0.0.0-20260116051925-c62ab83c589e o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura de archivos desde paquetes maliciosos. Utilice el gestor de paquetes npm o yarn para realizar la actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23644 is a Path Traversal vulnerability in esm.sh affecting versions up to 136. It allows attackers to potentially access arbitrary files by crafting malicious tar archives.
You are affected if you are using esm.sh version 136 or earlier. Check your project dependencies to determine if you are using a vulnerable version.
Upgrade to version 0.0.0-20260116051925-c62ab83c589e or later. If immediate upgrade is not possible, consider temporary workarounds like restricting file types.
While there's no confirmed widespread exploitation, a public proof-of-concept exists, indicating a potential for active exploitation.
Refer to the esm.sh GitHub repository for updates and advisories related to CVE-2026-23644: https://github.com/esm-dev/esm.sh
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.