Platform
go
Component
github.com/esm-dev/esm.sh
Opgelost in
136.0.1
136.0.1
CVE-2025-59341 beschrijft een File Inclusion kwetsbaarheid in github.com/esm-dev/esm.sh. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te lezen, wat kan leiden tot gevoelsgegevenslekken of verdere exploitatie. De kwetsbaarheid treft versies van esm.sh vóór 136.0.1. Een patch is beschikbaar in versie 136.0.1.
Een succesvolle exploitatie van deze File Inclusion kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan toegang krijgen tot gevoelige configuratiebestanden, broncode, of andere bestanden die op de server staan. Dit kan leiden tot het blootleggen van API-sleutels, wachtwoorden, of andere vertrouwelijke informatie. Daarnaast kan de aanvaller deze toegang gebruiken om verdere acties uit te voeren, zoals het uitvoeren van code of het compromitteren van de server. De impact is vergelijkbaar met andere File Inclusion kwetsbaarheden waarbij de aanvaller controle krijgt over de bestanden die worden opgenomen.
Op dit moment is er geen bevestigde actieve exploitatie van CVE-2025-59341 bekend. Er zijn geen publieke Proof-of-Concept (PoC) exploits beschikbaar. De kwetsbaarheid is toegevoegd aan de NVD (National Vulnerability Database) op 2025-09-24. De EPSS score is nog niet bekend, maar gezien de File Inclusion aard en de potentiële impact, wordt een medium tot hoog risico aangenomen.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using modern JavaScript build tools and frameworks. Developers who have integrated esm.sh into their workflows should prioritize upgrading to the patched version.
• go / server:
find /path/to/esm.sh -type f -name '*.go' -print0 | xargs -0 grep -i 'include' -A 5• generic web:
curl -I https://your-esm-sh-instance/path/to/vulnerable/file?file=../../../../etc/passwddisclosure
Exploit Status
EPSS
0.11% (30% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-59341 is het upgraden naar versie 136.0.1 of hoger van github.com/esm-dev/esm.sh. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de esm.sh service via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken met potentieel schadelijke bestandsnamen te blokkeren. Het is belangrijk om de configuratie van esm.sh te beoordelen en te zorgen voor een veilige omgeving. Na de upgrade, verifieer de fix door te proberen een willekeurig bestand te includeren via de esm.sh interface en te controleren of dit wordt geblokkeerd.
Actualice a una versión posterior a la 136 de esm.sh. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Consulte el advisory de seguridad en GitHub para obtener más detalles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-59341 is a File Inclusion vulnerability in esm.sh, allowing attackers to potentially include arbitrary files and execute malicious code. It is rated HIGH severity (CVSS 7.5).
You are affected if you are using esm.sh versions prior to 136.0.1. Assess your dependencies and upgrade immediately if vulnerable.
Upgrade to version 136.0.1 or later of esm.sh. If immediate upgrade is not possible, implement input validation and consider WAF rules.
No active exploitation has been confirmed as of this writing, but the vulnerability's nature suggests potential for exploitation.
Refer to the esm.sh project's repository and release notes for the official advisory and details on the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.