Platform
go
Component
github.com/esm-dev/esm.sh
Opgelost in
0.0.1
136.0.1
CVE-2026-23644 beschrijft een Path Traversal kwetsbaarheid in de esm.sh module, geschreven in Go. Deze kwetsbaarheid stelt een aanvaller in staat om potentieel willekeurige bestanden op de server te benaderen, ondanks een poging tot correctie in een eerdere commit. De kwetsbaarheid beïnvloedt versies van esm.sh tot en met 136. Een update naar versie 0.0.0-20260116051925-c62ab83c589e verhelpt het probleem.
De Path Traversal kwetsbaarheid in esm.sh maakt het mogelijk voor een aanvaller om bestanden buiten de beoogde directory te benaderen. Dit kan leiden tot het uitlezen van gevoelige configuratiebestanden, broncode of andere data die op de server is opgeslagen. In een succesvolle exploitatie kan een aanvaller mogelijk de controle over de server overnemen, afhankelijk van de rechten die aan de webserver zijn toegekend en de inhoud van de benaderde bestanden. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de directory structuur kan omzeilen om toegang te krijgen tot verboden bronnen.
De kwetsbaarheid werd openbaar gemaakt op 2026-01-20. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze specifieke kwetsbaarheid uitbuiten. Er is een public proof-of-concept beschikbaar, wat de exploitatie mogelijk maakt. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using esm.sh as a CDN or module resolver. Developers who have integrated esm.sh into their build processes or deployment pipelines should prioritize upgrading to the patched version.
• linux / server:
journalctl -u esm.sh -f | grep -i "path traversal"• generic web:
curl -I <esm.sh_endpoint> | grep -i "path traversal"disclosure
Exploit Status
EPSS
0.10% (28% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-23644 is het upgraden naar de beveiligde versie 0.0.0-20260116051925-c62ab83c589e. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webserver of het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer ook de configuratie van esm.sh om er zeker van te zijn dat er geen onnodige directory's toegankelijk zijn. Na de upgrade, verifieer de correctie door te proberen een bestand buiten de toegestane directory te benaderen via een HTTP-verzoek.
Actualice el paquete esm.sh a la versión 0.0.0-20260116051925-c62ab83c589e o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura de archivos desde paquetes maliciosos. Utilice el gestor de paquetes npm o yarn para realizar la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23644 is a Path Traversal vulnerability in esm.sh affecting versions up to 136. It allows attackers to potentially access arbitrary files by crafting malicious tar archives.
You are affected if you are using esm.sh version 136 or earlier. Check your project dependencies to determine if you are using a vulnerable version.
Upgrade to version 0.0.0-20260116051925-c62ab83c589e or later. If immediate upgrade is not possible, consider temporary workarounds like restricting file types.
While there's no confirmed widespread exploitation, a public proof-of-concept exists, indicating a potential for active exploitation.
Refer to the esm.sh GitHub repository for updates and advisories related to CVE-2026-23644: https://github.com/esm-dev/esm.sh
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.