Platform
go
Component
github.com/esm-dev/esm.sh
Opgelost in
136.0.1
0.0.0-20251117232647-9d77b88c3207
CVE-2025-65025 beschrijft een Arbitrary File Access kwetsbaarheid in de esm.sh CDN service, specifiek gerelateerd aan een tarslip in de github.com/esm-dev/esm.sh component. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te schrijven op het systeem. De kwetsbaarheid is openbaar gemaakt op 25 november 2025 en is verholpen in versie 0.0.0-20251117232647-9d77b88c3207.
Een succesvolle exploitatie van CVE-2025-65025 kan leiden tot ernstige gevolgen. Een aanvaller kan willekeurige bestanden op het systeem schrijven, waardoor ze mogelijk gevoelige informatie kunnen stelen, de integriteit van het systeem kunnen compromitteren of zelfs de controle over het systeem kunnen overnemen. De mogelijkheid om willekeurige bestanden te schrijven, opent de deur naar diverse aanvallen, waaronder het uitvoeren van schadelijke code, het wijzigen van configuratiebestanden en het installeren van malware. De impact is aanzienlijk, vooral omdat esm.sh een CDN is die door veel projecten wordt gebruikt, wat een potentieel groot aanvalsoppervlak creëert.
De kwetsbaarheid is openbaar gemaakt op 25 november 2025. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de mogelijkheid tot willekeurige bestandsmanipulatie maakt het een aantrekkelijk doelwit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (status onbekend). Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
Organizations relying on the esm.sh CDN service for delivering JavaScript packages are at risk. This includes developers and teams using Node.js, React, Angular, or other JavaScript-based frameworks. Specifically, those using older versions of the github.com/esm-dev/esm.sh component are vulnerable.
• go: Inspect the github.com/esm-dev/esm.sh component for versions prior to 0.0.0-20251117232647-9d77b88c3207 using go list -m github.com/esm-dev/esm.sh.
• generic web: Monitor CDN logs for unusual file write activity, particularly requests containing suspicious file paths or payloads.
• generic web: Use curl to probe for potential file write endpoints, attempting to write files to unexpected locations. Example: curl -X POST -d '...' <cdn_url>/path/to/potential/write/endpoint
disclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-65025 is het upgraden naar versie 0.0.0-20251117232647-9d77b88c3207 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om verzoeken met potentieel schadelijke tarslip-pogingen te blokkeren. Controleer de configuratie van esm.sh om er zeker van te zijn dat er geen onnodige schrijfrechten zijn verleend. Monitor logbestanden op verdachte patronen die wijzen op pogingen tot bestandsmanipulatie. Na de upgrade, bevestig de correcte werking door te controleren of bestandsintegriteit niet is aangetast.
Actualice el servicio esm.sh a la versión 136 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que atacantes escriban archivos en ubicaciones arbitrarias en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-65025 is a HIGH severity vulnerability in the esm.sh CDN allowing attackers to write arbitrary files, potentially leading to code execution. It affects versions prior to 0.0.0-20251117232647-9d77b88c3207.
You are affected if you are using the esm.sh CDN and have not upgraded to version 0.0.0-20251117232647-9d77b88c3207 or later. Check your component versions immediately.
Upgrade to version 0.0.0-20251117232647-9d77b88c3207 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file write access or using a WAF.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-65025, but the ease of exploitation suggests it could become a target.
Refer to the official esm.sh documentation and security advisories for the most up-to-date information regarding CVE-2025-65025.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.