平台
go
组件
github.com/esm-dev/esm.sh
修复版本
0.0.1
136.0.1
CVE-2026-23644 是 github.com/esm-dev/esm.sh 中的一个路径遍历漏洞。该漏洞允许攻击者通过构造恶意的 tar 文件,读取服务器上的任意文件,从而可能导致敏感信息泄露。受影响的版本包括 esm.sh ≤136。修复版本已发布,建议尽快更新。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取服务器上的任何文件,包括配置文件、源代码、数据库凭据等。如果服务器上存储了敏感信息,攻击者可能会窃取这些信息,并将其用于进一步的攻击。此外,攻击者还可以利用此漏洞修改服务器上的文件,从而破坏系统的正常运行。由于esm.sh 广泛用于 JavaScript 模块的加载,因此该漏洞可能影响依赖于该模块的应用程序。
目前尚未公开确认的利用案例,但该漏洞的 PoC 已经公开。由于其相对简单易懂的利用方式,该漏洞可能成为攻击者的目标。该漏洞已于 2026 年 1 月 20 日公开,并已发布修复版本。建议密切关注安全社区的动态,以获取最新的威胁情报。
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using esm.sh as a CDN or module resolver. Developers who have integrated esm.sh into their build processes or deployment pipelines should prioritize upgrading to the patched version.
• linux / server:
journalctl -u esm.sh -f | grep -i "path traversal"• generic web:
curl -I <esm.sh_endpoint> | grep -i "path traversal"disclosure
漏洞利用状态
EPSS
0.10% (28% 百分位)
CISA SSVC
为了缓解 CVE-2026-23644 的风险,建议立即升级到修复版本 0.0.0-20260116051925-c62ab83c589e。如果无法立即升级,可以考虑以下临时缓解措施:限制 esm.sh 允许访问的文件路径,实施严格的输入验证,并监控服务器上的可疑活动。此外,可以使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。升级后,请验证修复是否成功,例如通过尝试利用该漏洞的攻击向量。
Actualice el paquete esm.sh a la versión 0.0.0-20260116051925-c62ab83c589e o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura de archivos desde paquetes maliciosos. Utilice el gestor de paquetes npm o yarn para realizar la actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23644 是 github.com/esm-dev/esm.sh 中的一个路径遍历漏洞,允许攻击者读取服务器上的任意文件。
如果您的 esm.sh 版本小于或等于 136,则您可能受到影响。请立即检查您的版本并升级。
请升级到修复版本 0.0.0-20260116051925-c62ab83c589e。
虽然尚未公开确认的利用案例,但该漏洞的 PoC 已经公开,存在被利用的风险。
请访问 github.com/esm-dev/esm.sh 的官方仓库,查找相关的安全公告和修复说明。
上传你的 go.mod 文件,立即知道是否受影响。