HIGHCVE-2025-65025CVSS 8.2

esm.sh CDN 服务存在通过 tarslip 实现任意文件写入漏洞，位于 github.com/esm-dev/esm.sh

Q: 什么是 CVE-2025-65025 — 任意文件访问漏洞在 esm.sh CDN 中?

CVE-2025-65025 是 github.com/esm-dev/esm.sh 中发现的任意文件访问漏洞，允许攻击者通过 tarslip 机制写入任意文件，CVSS 评分为 8.2（高）。

Q: 我是否受到 CVE-2025-65025 在 esm.sh CDN 中的影响?

如果您正在使用 esm.sh CDN 托管 JavaScript 模块，则可能受到影响。请尽快升级到修复版本。

Q: 我如何修复 CVE-2025-65025 在 esm.sh CDN 中?

升级到 0.0.0-20251117232647-9d77b88c3207 版本以修复此漏洞。

Q: 在哪里可以找到官方 esm.sh 关于 CVE-2025-65025 的公告?

请访问 esm.sh 的官方网站或 GitHub 仓库，查找有关此漏洞的公告。

平台

组件

github.com/esm-dev/esm.sh

修复版本

136.0.1

0.0.0-20251117232647-9d77b88c3207

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-65025 描述了 github.com/esm-dev/esm.sh 中存在的任意文件访问漏洞。该漏洞允许攻击者通过 tarslip 机制在 esm.sh CDN 服务上写入任意文件，可能导致代码执行或敏感信息泄露。受影响的版本包括所有使用 esm.sh CDN 的项目。该漏洞已于 2025 年 11 月 17 日修复，建议尽快升级。

影响与攻击场景

攻击者可以利用此漏洞在 esm.sh CDN 服务上写入任意文件。这可能导致多种严重后果，包括恶意代码注入、敏感信息泄露、甚至完全控制受影响的应用程序。攻击者可以修改依赖项，从而影响所有使用该 CDN 的项目。由于 esm.sh CDN 被广泛用于 JavaScript 模块的托管，因此该漏洞的潜在影响范围非常广泛，可能影响大量应用程序和用户。类似攻击可能导致供应链攻击，攻击者通过污染 CDN 上的模块来影响下游用户。

利用背景

该漏洞已于 2025 年 11 月 25 日公开披露。目前尚无公开的 PoC 代码，但由于漏洞的严重性和易利用性，预计可能会出现。该漏洞尚未被添加到 CISA KEV 目录，但其潜在影响值得关注。建议密切关注安全社区的动态，以便及时了解漏洞的最新情况。

哪些人处于风险中翻译中…

Organizations relying on the esm.sh CDN service for delivering JavaScript packages are at risk. This includes developers and teams using Node.js, React, Angular, or other JavaScript-based frameworks. Specifically, those using older versions of the github.com/esm-dev/esm.sh component are vulnerable.

检测步骤翻译中…

• go: Inspect the github.com/esm-dev/esm.sh component for versions prior to 0.0.0-20251117232647-9d77b88c3207 using go list -m github.com/esm-dev/esm.sh. • generic web: Monitor CDN logs for unusual file write activity, particularly requests containing suspicious file paths or payloads. • generic web: Use curl to probe for potential file write endpoints, attempting to write files to unexpected locations. Example: curl -X POST -d '...' <cdn_url>/path/to/potential/write/endpoint

攻击时间线

2025-11-25Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.05% (14% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件github.com/esm-dev/esm.sh

供应商osv

影响范围修复版本

< 136 – < 136136.0.1

—0.0.0-20251117232647-9d77b88c3207

弱点分类 (CWE)

CWE-22

时间线

已保留2025-11-13
发布日期2025-11-25
修改日期2026-03-03
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是升级到修复版本 0.0.0-20251117232647-9d77b88c3207。如果无法立即升级，可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求，阻止攻击者利用 tarslip 漏洞。此外，审查 esm.sh CDN 的配置，确保其安全性，并定期扫描依赖项是否存在已知漏洞。升级后，请验证新版本是否已成功部署，并检查系统日志是否存在异常活动。

修复方法翻译中…

Actualice el servicio esm.sh a la versión 136 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que atacantes escriban archivos en ubicaciones arbitrarias en el servidor.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-65025 — 任意文件访问漏洞在 esm.sh CDN 中?