Plataforma
go
Componente
github.com/esm-dev/esm.sh
Corrigido em
0.0.1
136.0.1
A vulnerabilidade CVE-2026-23644 é um Path Traversal identificado em github.com/esm-dev/esm.sh. Um atacante pode explorar essa falha para ler arquivos arbitrários no servidor, potencialmente expondo informações sensíveis. A vulnerabilidade afeta versões até 136. A correção implementada em um commit específico não resolve completamente o problema, exigindo atualização ou medidas de mitigação.
A exploração bem-sucedida de CVE-2026-23644 permite que um atacante contorne as restrições de acesso ao sistema de arquivos do servidor. Ao fornecer um arquivo tar malicioso com caminhos relativos ou absolutos manipulados, o atacante pode extrair arquivos fora do diretório esperado. Isso pode levar à divulgação de arquivos de configuração, chaves privadas, código-fonte ou outros dados confidenciais armazenados no servidor. O impacto potencial é alto, pois a vulnerabilidade pode ser explorada remotamente sem autenticação, permitindo o acesso não autorizado a informações críticas. A falha na correção implementada torna a exploração ainda mais fácil.
A vulnerabilidade foi divulgada em 2026-01-20. Um Proof of Concept (PoC) foi demonstrado, indicando a viabilidade da exploração. A ausência de uma correção efetiva no commit original aumenta a probabilidade de exploração ativa. Não há informações disponíveis sobre a inclusão em KEV ou a pontuação EPSS, mas a existência de um PoC sugere um risco moderado a alto.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using esm.sh as a CDN or module resolver. Developers who have integrated esm.sh into their build processes or deployment pipelines should prioritize upgrading to the patched version.
• linux / server:
journalctl -u esm.sh -f | grep -i "path traversal"• generic web:
curl -I <esm.sh_endpoint> | grep -i "path traversal"disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
A mitigação primária para CVE-2026-23644 é atualizar para a versão corrigida 0.0.0-20260116051925-c62ab83c589e. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Implemente validação rigorosa de todos os caminhos de arquivo fornecidos pelo usuário, garantindo que não contenham sequências como '..'. Configure um Web Application Firewall (WAF) para bloquear solicitações com padrões de path traversal suspeitos. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice el paquete esm.sh a la versión 0.0.0-20260116051925-c62ab83c589e o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura de archivos desde paquetes maliciosos. Utilice el gestor de paquetes npm o yarn para realizar la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23644 is a Path Traversal vulnerability in esm.sh affecting versions up to 136. It allows attackers to potentially access arbitrary files by crafting malicious tar archives.
You are affected if you are using esm.sh version 136 or earlier. Check your project dependencies to determine if you are using a vulnerable version.
Upgrade to version 0.0.0-20260116051925-c62ab83c589e or later. If immediate upgrade is not possible, consider temporary workarounds like restricting file types.
While there's no confirmed widespread exploitation, a public proof-of-concept exists, indicating a potential for active exploitation.
Refer to the esm.sh GitHub repository for updates and advisories related to CVE-2026-23644: https://github.com/esm-dev/esm.sh
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.