平台
go
组件
github.com/esm-dev/esm.sh
修复版本
136.0.1
136.0.1
CVE-2025-59341 描述了 github.com/esm-dev/esm.sh 中的文件包含漏洞。该漏洞允许攻击者读取任意文件,可能导致敏感信息泄露。该漏洞影响所有在 136.0.1 之前的版本的 esm.sh 用户。已发布补丁版本 136.0.1。
此文件包含漏洞允许攻击者通过构造恶意请求,访问服务器上的任意文件。攻击者可以利用此漏洞读取配置文件、源代码或其他敏感数据。攻击者可能利用这些信息进一步攻击系统,例如获取数据库凭据或执行代码。由于 esm.sh 广泛用于 JavaScript 模块的托管,因此该漏洞的影响范围可能非常广泛,可能影响依赖于 esm.sh 的应用程序。
目前尚未公开发现利用此漏洞的公开 POC。CISA 尚未将其添加到 KEV 目录。由于该漏洞的严重性和潜在影响,建议密切关注其发展情况。该漏洞的 EPSS 评级可能为中等,表明存在被利用的风险。
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using modern JavaScript build tools and frameworks. Developers who have integrated esm.sh into their workflows should prioritize upgrading to the patched version.
• go / server:
find /path/to/esm.sh -type f -name '*.go' -print0 | xargs -0 grep -i 'include' -A 5• generic web:
curl -I https://your-esm-sh-instance/path/to/vulnerable/file?file=../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.11% (30% 百分位)
CISA SSVC
缓解此漏洞的首要措施是立即升级至 esm.sh 的 136.0.1 或更高版本。如果无法立即升级,可以考虑使用 Web 应用程序防火墙 (WAF) 来过滤恶意请求,阻止攻击者利用此漏洞。此外,应审查 esm.sh 的配置,确保没有不必要的权限或文件访问。在升级后,请验证升级是否成功,并检查系统日志中是否有任何异常活动。
Actualice a una versión posterior a la 136 de esm.sh. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Consulte el advisory de seguridad en GitHub para obtener más detalles.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59341 是 github.com/esm-dev/esm.sh 中的一个文件包含漏洞,允许攻击者读取服务器上的任意文件。CVSS 评分为 7.5 (高)。
如果您正在使用 esm.sh 且版本低于 136.0.1,则您可能受到此漏洞的影响。
建议升级至 esm.sh 的 136.0.1 或更高版本。
目前尚未公开发现利用此漏洞的公开 POC,但由于其严重性,建议密切关注。
请访问 github.com/esm-dev/esm.sh 的官方仓库或相关安全公告页面,以获取更多信息。
上传你的 go.mod 文件,立即知道是否受影响。