Plateforme
nodejs
Composant
@google/clasp
Corrigé dans
3.2.1
3.2.0
La vulnérabilité CVE-2026-4092 est une faille de "Path Traversal" découverte dans la bibliothèque @google/clasp pour Node.js. Cette faille permet à un attaquant de modifier des fichiers situés en dehors du répertoire du projet, ce qui pourrait entraîner l'exécution de code malveillant sur la machine du développeur. Elle affecte les versions de @google/clasp antérieures à la version 3.2.0. Une correction a été déployée dans la version 3.2.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'accéder à des fichiers sensibles en dehors du répertoire du projet. Un attaquant pourrait, par exemple, injecter du code malveillant dans des fichiers de configuration ou des scripts système, compromettant ainsi l'intégrité du système. L'exécution de code arbitraire sur la machine du développeur représente un risque majeur, permettant potentiellement le vol de données sensibles, l'installation de logiciels malveillants ou le contrôle à distance du système. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée par des attaquants qui ont accès au code source du projet ou qui peuvent influencer les sources de clonage ou de pull.
La vulnérabilité CVE-2026-4092 a été rendue publique le 2026-03-13. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Bien qu'aucun exploit public n'ait été largement diffusé, la nature de la vulnérabilité de "Path Traversal" la rend potentiellement exploitable par des acteurs malveillants. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant l'exploitation de cette vulnérabilité.
Developers using @google/clasp to develop Google Apps Script projects are at risk, particularly those who frequently clone or pull scripts from external sources or use older, unpatched versions of the library. Shared hosting environments where multiple developers use the same @google/clasp installation are also at increased risk.
• nodejs / clasp:
find / -name clasp.cmd -o -name clasp.sh -print0 | xargs -0 grep -i 'pull|clone' • nodejs / clasp: Check for unusual files or modifications within the Google Apps Script project directories after a pull or clone operation.
• nodejs / clasp: Review the output of npm audit for vulnerabilities in dependencies used by the project.
disclosure
Statut de l'Exploit
EPSS
1.03% (percentile 77%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque @google/clasp vers la version 3.2.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement recommandé de ne cloner ou de ne télécharger que des scripts provenant de sources fiables et de vérifier attentivement le contenu des fichiers modifiés après chaque opération de clonage ou de pull. L'examen manuel des fichiers modifiés permet de détecter toute modification non autorisée. Il est également conseillé de limiter les privilèges d'accès aux fichiers du projet afin de réduire l'impact potentiel d'une exploitation réussie.
Actualice Clasp a la versión 3.2.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. Puede actualizar Clasp utilizando el gestor de paquetes npm con el comando `npm install -g @google/clasp`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4092 is a Path Traversal vulnerability in @google/clasp versions before 3.2.0, allowing attackers to modify files outside the project directory.
You are affected if you are using @google/clasp versions prior to 3.2.0 and clone or pull scripts from untrusted sources.
Upgrade to @google/clasp version 3.2.0 or later. As a temporary workaround, carefully review files modified by pull and clone commands.
There is currently no indication of active exploitation in the wild or public proof-of-concept code.
Refer to the @google/clasp release notes and security advisories on the Google Developers website for details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.