CVE-2025-54782
@nestjs/devtools-integration's CSRF to Sandbox Escape Allows for RCE against JS Developers
En resumen
Una herramienta de desarrollo para NestJS ejecuta código inseguro en las máquinas de los desarrolladores cuando visitan sitios maliciosos. Un atacante puede ejecutar comandos arbitrarios en la computadora de un desarrollador engañándolo para que visite una página manipulada mientras la herramienta está activa.
Detalle técnico
El paquete @nestjs/devtools-integration expone un endpoint HTTP local (/inspector/graph/interact) que ejecuta JavaScript proporcionado por el usuario en una sandbox débil (vm.runInNewContext) sin protección CSRF. Un sitio malicioso puede enviar solicitudes cross-origin para ejecutar código Node.js arbitrario en el entorno local del desarrollador, logrando RCE por la falta de validación de origen y aislamiento insuficiente.
Resumen generado y traducido por IA a partir de la descripción oficial.
Nest is a framework for building scalable Node.js server-side applications. In versions 0.2.0 and below, a critical Remote Code Execution (RCE) vulnerability was discovered in the @nestjs/devtools-integration package. When enabled, the package exposes a local development HTTP server with an API endpoint that uses an unsafe JavaScript sandbox (safe-eval-like implementation). Due to improper sandboxing and missing cross-origin protections, any malicious website visited by a developer can execute arbitrary code on their local machine. The package adds HTTP endpoints to a locally running NestJS development server. One of these endpoints, /inspector/graph/interact, accepts JSON input containing a code field and executes the provided code in a Node.js vm.runInNewContext sandbox. This is fixed in version 0.2.1.
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.