NESTJS Framework’ün JavaScript geliştiricilerine karşı uzaktan kumanda (RCE) saldırılarını sağlayan geliştirme araçlarında kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-54782 olarak tanımlanan kusur, @nestjs/devtools-entegrasyon paketini etkiler ve kötü amaçlı web sitelerinin sofistike sandbox kaçış teknikleri aracılığıyla geliştiricilerin yerel makinelerinde keyfi kod yürütmesine izin verir.
Key Takeaways
1. Critical RCE flaw in NestJS devtools allows code execution via malicious websites.
2. Caused by an unsafe JavaScript sandbox and poor CORS validation.
3. Immediate fix required.
Açıklanan güvenlik açığı, CVSS V4 ölçeğinde 9.4 kritik bir ciddiyet derecesi taşıyor ve geliştirme topluluğuna verdiği tehlikeyi vurguluyor.
“Verimli ve ölçeklenebilir sunucu tarafı uygulamaları oluşturmak için aşamalı bir Node.js çerçevesi” olarak tanımlanan NESTJS, GitHub’da 4.100’den fazla takipçiye sahiptir ve kurumsal sınıf uygulamalarında yaygın olarak kullanılmaktadır.
Nestjs Sandbox RCE Güvenlik Açığı
Güvenlik kusuru, @nestjs/devtools-entegrasyon paketinin bir kod alanı içeren JSON girişini işleyen ve bir Node.js vm.runinNewContext sandbox içinde çalıştıran HTTP uç noktası/müfettiş/grafik/etkileşiminden kaynaklanır.
Savunmasız uygulama, terk edilmiş güvenli eval kütüphaneye çok benzemektedir ve yeterli güvenlik kontrolleri sağlayamamaktadır.
Sorunlu kod, kusurlu bir sanal alan uygulaması içerir:
Güvenlik açığı, yetersiz orantılı kaynak paylaşım (CORS) korumaları ile daha da birleşir.
Sunucu https: // devtools adresine erişim-control-lower-origin ayarlarken[.]nestjs.com, isteğin başlangıç veya içerik tipi başlıklarını doğru bir şekilde doğrulayamaz.
Saldırganlar bu zayıflıktan, Post istekleri metin/düz içerik türü ile hazırlayarak, CORS preflight kontrollerini etkili bir şekilde atlayarak kullanabilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | @ nestjs / devtools entegrasyon paketi (npm) ≤4.0 |
| Darbe | Uzak Kod Yürütme (RCE) |
| Önkoşuldan istismar | – Geliştirici kötü amaçlı web sitesini ziyaret eder- Nestjs Devtools Entegrasyon Etkin- Geliştirme Sunucusu Yerel olarak çalışıyor |
| CVSS V4 Puanı | 9.4 |
Socket adına çalışan güvenlik araştırmacısı Jlleitschuh, bir geliştirici kötü amaçlı bir web sitesini ziyaret ettiğinde güvenlik açığını tetikleyebilecek basit bir HTML formu kullanarak istismar gösterdi.
Konsept kanıtı yükü, kum havuzundan kaçmak ve keyfi komut yürütme için Node.js’s Child_Process modülüne erişim elde etmek için JavaScript’in özellik numaralandırmasını kaldırır.
NESTJS koruyucuları, @nyariv/sandboxjs kullanarak daha güvenli bir kum havuzu alternatifi uygulanarak, uygun menşe doğrulama ekleyerek ve Devtools bağlantıları için kimlik doğrulama mekanizmaları sunarak bu kritik sorunu 0.2.1 sürümünde ele almıştır.
Etkilenen sürümleri (≤0.2.0) kullanan geliştiricilere, geliştirme ortamlarına karşı uzaktan kod yürütme saldırıları riskini azaltmak için hemen yükseltmeleri tavsiye edilir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches