CVE-2025-54782
@nestjs/devtools-integration's CSRF to Sandbox Escape Allows for RCE against JS Developers
Em resumo
Uma ferramenta de desenvolvimento para NestJS executa código inseguro nas máquinas dos desenvolvedores quando eles visitam sites maliciosos. Um atacante pode executar comandos arbitrários no computador de um desenvolvedor enganando-o a visitar uma página manipulada enquanto a ferramenta está ativa.
Detalhe técnico
O pacote @nestjs/devtools-integration expõe um endpoint HTTP local (/inspector/graph/interact) que executa JavaScript fornecido pelo usuário em uma sandbox fraca (vm.runInNewContext) sem proteção CSRF. Um site malicioso pode enviar requisições cross-origin para executar código Node.js arbitrário no ambiente local do desenvolvedor, alcançando RCE pela falta de validação de origem e isolamento insuficiente.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Nest is a framework for building scalable Node.js server-side applications. In versions 0.2.0 and below, a critical Remote Code Execution (RCE) vulnerability was discovered in the @nestjs/devtools-integration package. When enabled, the package exposes a local development HTTP server with an API endpoint that uses an unsafe JavaScript sandbox (safe-eval-like implementation). Due to improper sandboxing and missing cross-origin protections, any malicious website visited by a developer can execute arbitrary code on their local machine. The package adds HTTP endpoints to a locally running NestJS development server. One of these endpoints, /inspector/graph/interact, accepts JSON input containing a code field and executes the provided code in a Node.js vm.runInNewContext sandbox. This is fixed in version 0.2.1.
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.