Platform
go
Component
github.com/esm-dev/esm.sh
Opgelost in
136.0.1
0.0.0-20250616164159-0593516c4cfa
CVE-2025-50180 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in esm.sh, a JavaScript module resolver. This flaw allows attackers to potentially access sensitive information from internal networks by manipulating URLs used by the service. The vulnerability affects versions before 0.0.0-20250616164159-0593516c4cfa and has been resolved in a recent update.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne bronnen benaderen die normaal gesproken niet toegankelijk zijn vanaf het openbare internet, zoals interne API's, databases of configuratiebestanden. Dit kan leiden tot data-exfiltratie, ongeautoriseerde toegang tot interne systemen en mogelijk zelfs tot het compromitteren van de gehele infrastructuur. De mogelijkheid om interne websites te benaderen, opent de deur naar verdere aanvallen, zoals het uitvoeren van scans op interne netwerken en het identificeren van andere kwetsbaarheden. Het is vergelijkbaar met scenario's waarbij interne services worden blootgesteld via misconfiguraties, maar dan via een indirecte route via esm.sh.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar op GitHub. Er is geen indicatie van actieve exploitatie op dit moment, maar de publicatie van de details maakt het potentieel voor misbruik aanzienlijk. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus (KEV) op het moment van schrijven. Er zijn geen publiek beschikbare proof-of-concept exploits bekend, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen.
Organizations heavily reliant on esm.sh for JavaScript module resolution, particularly those with sensitive internal resources accessible via HTTP, are at risk. Environments with less stringent network segmentation policies are also more vulnerable, as an attacker could potentially leverage the SSRF to reach deeper into the internal network.
• linux / server:
journalctl -u esm-sh -g 'SSRF' | grep -i 'local.site'• generic web:
curl -I https://esm.sh/https://local.site/test.md | grep -i 'local.site'disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-50180 is het upgraden naar de beveiligde versie: 0.0.0-20250616164159-0593516c4cfa. Als een directe upgrade niet mogelijk is, overweeg dan om een Web Application Firewall (WAF) of reverse proxy te implementeren om de toegang tot esm.sh te beperken en verdachte URL's te blokkeren. Configureer de WAF om verzoeken met specifieke bestandsextensies (zoals .js, .ts, .md) die in de kwetsbare code worden gebruikt, te filteren. Controleer de configuratie van esm.sh om er zeker van te zijn dat er geen onnodige interne services worden blootgesteld. Na de upgrade, verifieer de fix door te proberen een interne website te benaderen via esm.sh en controleer of de toegang wordt geweigerd.
Werk de versie van esm.sh bij naar versie 137 of hoger. Dit zal de SSRF-kwetsbaarheid oplossen die het ophalen van informatie van interne websites mogelijk maakt. U kunt het pakket bijwerken met behulp van de npm of yarn pakketbeheerder.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-50180 is a SSRF vulnerability in esm.sh, allowing attackers to retrieve internal website content through crafted URLs. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using a version of esm.sh prior to 0.0.0-20250616164159-0593516c4cfa. Assess your deployments and upgrade immediately.
Upgrade to version 0.0.0-20250616164159-0593516c4cfa or later. Consider WAF rules as a temporary mitigation.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate action.
Refer to the esm.sh GitHub repository for updates and advisories related to this vulnerability: https://github.com/esm-dev/esm.sh
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.