Plataforma
nodejs
Componente
@google/clasp
Corrigido em
3.2.1
3.2.0
A vulnerabilidade CVE-2026-4092 é um Path Traversal identificado na biblioteca @google/clasp para Node.js. Essa falha permite que um atacante modifique arquivos fora do diretório do projeto, potencialmente executando código malicioso na máquina do desenvolvedor. A vulnerabilidade afeta versões anteriores a 3.2.0 e foi corrigida nesta versão.
Um atacante pode explorar essa vulnerabilidade para injetar código malicioso no ambiente de desenvolvimento do usuário. Ao manipular o processo de pull ou clone da biblioteca, o atacante pode modificar arquivos arbitrários no sistema de arquivos do desenvolvedor, além do diretório do projeto. Isso pode levar à execução de comandos não autorizados, roubo de informações confidenciais ou comprometimento completo do sistema. A gravidade da vulnerabilidade reside na possibilidade de execução remota de código, com potencial para causar danos significativos.
A vulnerabilidade foi divulgada em 2026-03-13. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog). A existência de um Proof of Concept (PoC) público não foi confirmada, mas a natureza do Path Traversal sugere que um PoC pode ser desenvolvido relativamente facilmente.
Developers using @google/clasp to develop Google Apps Script projects are at risk, particularly those who frequently clone or pull scripts from external sources or use older, unpatched versions of the library. Shared hosting environments where multiple developers use the same @google/clasp installation are also at increased risk.
• nodejs / clasp:
find / -name clasp.cmd -o -name clasp.sh -print0 | xargs -0 grep -i 'pull|clone' • nodejs / clasp: Check for unusual files or modifications within the Google Apps Script project directories after a pull or clone operation.
• nodejs / clasp: Review the output of npm audit for vulnerabilities in dependencies used by the project.
disclosure
Status do Exploit
EPSS
1.03% (percentil 77%)
CISA SSVC
A mitigação primária é atualizar a biblioteca @google/clasp para a versão 3.2.0 ou superior, que inclui a correção para essa vulnerabilidade. Como alternativa, antes de executar os comandos pull ou clone, revise cuidadosamente os arquivos que serão modificados para garantir que apenas os arquivos esperados do projeto sejam alterados. Implementar uma política de segurança que restrinja a clonagem ou o download de scripts apenas de fontes confiáveis também é crucial. Monitore o sistema de arquivos em busca de modificações inesperadas.
Atualize Clasp para a versão 3.2.0 ou superior. Esta versão corrige a vulnerabilidade de path traversal que permite a execução remota de código. Você pode atualizar Clasp utilizando o gerenciador de pacotes npm com o comando `npm install -g @google/clasp`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4092 é uma vulnerabilidade de Path Traversal na biblioteca @google/clasp, permitindo a modificação de arquivos fora do diretório do projeto.
Sim, se você estiver usando uma versão do @google/clasp anterior a 3.2.0, você está potencialmente afetado.
Atualize o @google/clasp para a versão 3.2.0 ou superior. Revise também os arquivos modificados após o pull e clone.
Não há confirmação de exploração ativa no momento, mas a vulnerabilidade é potencialmente explorável.
Consulte a documentação oficial do @google/clasp e os canais de comunicação da Google para obter informações atualizadas sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.