Platform
nodejs
Component
@google/clasp
Opgelost in
3.2.1
3.2.0
CVE-2026-4092 is a Path Traversal vulnerability discovered in the @google/clasp library, a command-line tool for developing Google Apps Script projects. This vulnerability allows attackers to potentially modify files outside the intended project directory, leading to code execution on the developer's machine. The vulnerability affects versions prior to 3.2.0, and a fix has been released in version 3.2.0.
Een succesvolle exploitatie van CVE-2026-4092 kan ernstige gevolgen hebben. Een aanvaller kan, door middel van een Path Traversal aanval, bestanden buiten de normale projectdirectory wijzigen. Dit omvat potentieel het overschrijven van systeemconfiguratiebestanden of het plaatsen van kwaadaardige scripts die vervolgens door de applicatie worden uitgevoerd. De impact is vooral groot voor ontwikkelaars die @google/clasp gebruiken om Google Apps Script projecten te beheren, aangezien de aanvaller toegang kan krijgen tot gevoelige informatie of de machine van de ontwikkelaar kan compromitteren. Dit soort kwetsbaarheden kunnen leiden tot data-exfiltratie, systeemcompromittering en verdere aanvalsmogelijkheden.
Op dit moment is er geen publieke exploitatie van CVE-2026-4092 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-13. Er is geen vermelding op CISA KEV. Het is belangrijk om te benadrukken dat, hoewel er geen actieve exploitatie is, de kwetsbaarheid nog steeds een potentieel risico vormt, vooral in omgevingen waar @google/clasp wordt gebruikt om projecten te beheren van onbekende bronnen.
Developers using @google/clasp to develop Google Apps Script projects are at risk, particularly those who frequently clone or pull scripts from external sources or use older, unpatched versions of the library. Shared hosting environments where multiple developers use the same @google/clasp installation are also at increased risk.
• nodejs / clasp:
find / -name clasp.cmd -o -name clasp.sh -print0 | xargs -0 grep -i 'pull|clone' • nodejs / clasp: Check for unusual files or modifications within the Google Apps Script project directories after a pull or clone operation.
• nodejs / clasp: Review the output of npm audit for vulnerabilities in dependencies used by the project.
disclosure
Exploit Status
EPSS
1.03% (77% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-4092 is het upgraden van @google/clasp naar versie 3.2.0 of hoger. Indien een upgrade momenteel niet mogelijk is, kunnen de volgende workarounds worden toegepast. Beperk het gebruik van pull en clone commando's tot scripts die afkomstig zijn van vertrouwde bronnen. Controleer de output van deze commando's zorgvuldig om te verifiëren dat alleen de verwachte projectbestanden worden gewijzigd. Het implementeren van een strikte code review procedure kan ook helpen om verdachte activiteiten te detecteren. Na de upgrade, controleer de integriteit van de projectbestanden om er zeker van te zijn dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Werk Clasp bij naar versie 3.2.0 of hoger. Deze versie corrigeert de path traversal kwetsbaarheid die remote code execution mogelijk maakt. U kunt Clasp bijwerken met behulp van de npm package manager met het commando `npm install -g @google/clasp`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4092 is a Path Traversal vulnerability in @google/clasp versions before 3.2.0, allowing attackers to modify files outside the project directory.
You are affected if you are using @google/clasp versions prior to 3.2.0 and clone or pull scripts from untrusted sources.
Upgrade to @google/clasp version 3.2.0 or later. As a temporary workaround, carefully review files modified by pull and clone commands.
There is currently no indication of active exploitation in the wild or public proof-of-concept code.
Refer to the @google/clasp release notes and security advisories on the Google Developers website for details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.