Plataforma
go
Componente
github.com/esm-dev/esm.sh
Corrigido em
136.0.1
0.0.0-20250616164159-0593516c4cfa
A vulnerabilidade CVE-2025-50180 é uma falha de SSRF (Server-Side Request Forgery) descoberta em esm.sh, um serviço de módulos JavaScript. Essa falha permite que um atacante acesse recursos internos do servidor através de requisições maliciosas, potencialmente expondo informações sensíveis. A vulnerabilidade afeta versões anteriores a 0.0.0-20250616164159-0593516c4cfa e foi corrigida em versões subsequentes.
Um atacante pode explorar essa vulnerabilidade para ler arquivos e dados de servidores internos que o esm.sh tem acesso. Isso pode incluir informações de configuração, chaves de API, ou dados de outros serviços internos. A exploração bem-sucedida pode levar à exposição de informações confidenciais e, em alguns casos, permitir o acesso a outros sistemas na rede interna. A vulnerabilidade se manifesta através da manipulação da URL utilizada para buscar módulos, permitindo que o atacante especifique um endereço interno que será acessado pelo servidor.
A vulnerabilidade foi divulgada em 2026-02-25. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
Organizations heavily reliant on esm.sh for JavaScript module resolution, particularly those with sensitive internal resources accessible via HTTP, are at risk. Environments with less stringent network segmentation policies are also more vulnerable, as an attacker could potentially leverage the SSRF to reach deeper into the internal network.
• linux / server:
journalctl -u esm-sh -g 'SSRF' | grep -i 'local.site'• generic web:
curl -I https://esm.sh/https://local.site/test.md | grep -i 'local.site'disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
A mitigação primária é atualizar para a versão corrigida 0.0.0-20250616164159-0593516c4cfa ou superior. Se a atualização imediata não for possível, considere implementar regras em um Web Application Firewall (WAF) ou proxy reverso para bloquear requisições com URLs suspeitas que contenham sufixos como .js, .ts, .mjs, etc. Além disso, revise as configurações de rede para restringir o acesso do esm.sh a recursos internos desnecessários. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar um recurso interno através do esm.sh e confirmando que a requisição é bloqueada ou redirecionada.
Atualize a versão de esm.sh para a versão 137 ou superior. Isso corrigirá a vulnerabilidade SSRF que permite a recuperação de informações de sites internos. Você pode atualizar o pacote usando o gerenciador de pacotes npm ou yarn.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-50180 is a SSRF vulnerability in esm.sh, allowing attackers to retrieve internal website content through crafted URLs. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using a version of esm.sh prior to 0.0.0-20250616164159-0593516c4cfa. Assess your deployments and upgrade immediately.
Upgrade to version 0.0.0-20250616164159-0593516c4cfa or later. Consider WAF rules as a temporary mitigation.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate action.
Refer to the esm.sh GitHub repository for updates and advisories related to this vulnerability: https://github.com/esm-dev/esm.sh
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.