Popüler NESTJS çerçevesinde, saldırganların geliştirici makinelerinde keyfi kod yürütmesine izin verebilecek kritik bir uzaktan kod yürütme güvenlik açığı keşfedilmiştir.
CVE-2025-54782 olarak izlenen güvenlik açığı, @nestjs/devtools-entegrasyon paketini etkiler ve basit web tabanlı saldırılarla tam sistem uzlaşması potansiyeli nedeniyle en yüksek şiddet derecesi atanmıştır.
Güvenlik Açığı Genel Bakış
Güvenlik kusuru, @nestjs/devtools-entegrasyon paketinde güvensiz kod yürütme uygulamaları ve yetersiz orijinaller arası istek korumalarının bir kombinasyonundan kaynaklanmaktadır.
Geliştiriciler geliştirme sırasında bu paketi etkinleştirdiklerinde, güvenli olmayan bir sanal alan ortamında JavaScript kodunu kabul eden ve yürüten bir API bitiş noktası/Müfettiş/Graph/Interact ile yerel bir HTTP sunucusunu açığa çıkarır.
| Alan | Değer |
| CVE kimliği | CVE-2025-54782 |
| CVSS V4 Puanı | Kritik (10.0/10) |
| Saldırı vektörü | Bitişik |
| Saldırı Karmaşıklığı | Düşük |
Güvenlik araştırmacısı Jlleitschuh, bir yazılım güvenlik şirketi olan Socket adına güvenlik açığını ortaya çıkardı.
Temel sorun, paketin terk edilmiş güvenli eval kütüphaneye yakından benzeyen bir JavaScript sanal alanının uygulanmasında yatmaktadır.
Sandbox, Node.js Node.js belgesinin açıkça güvenilmeyen kod yürütmek için güvenlik mekanizmaları sağlamadığı VMO.JS’nin vm.runinNewContext yöntemini kullanır.
Bu uygulama, keyfi kod yürütülmesine yol açabilecek bilinen çok sayıda sandbox kaçış tekniğine izin verir.
Bu sorunu birleştirmek, uygun çapraz orijin istek validasyonunun olmamasıdır. Sunucu, Sabit bir etki alanına erişim-kontrol-lowl-origin ayarlarken, isteğin menşe veya içerik tipi başlıklarını doğrulayamaz.
Saldırganlar, HTML formları veya basit XMLHTTPRequest çağrılarını kullanarak metin/düz içerik türü ile posta talepleri hazırlayarak bu zayıflığı kullanabilir ve CORS preflight kontrollerini etkili bir şekilde atlayabilir.
Saldırı senaryosu özellikle sadeliği nedeniyle ilgilidir. Bir saldırgan, bir geliştirici sayfayı ziyaret ettiğinde yerel geliştirme sunucusuna otomatik olarak hazırlanmış bir istek gönderen bir HTML formu veya JavaScript kodu içeren kötü amaçlı bir web sitesi oluşturabilir.
İstismar minimum kullanıcı etkileşimi gerektirir – kötü amaçlı web sayfasını çok ziyaret etmek, kod yürütmeyi tetiklemek için yeterlidir.
Kavram kanıtı gösterisi, saldırganların geliştiricinin makinesinde uygulamaları başlatma gibi komutları nasıl yürütebileceğini, ancak veri hırsızlığı veya sistem uzlaşması da dahil olmak üzere daha kötü amaçlı etkinlik potansiyeli önemlidir.
Bakımcılar, güvenli olmayan sanal alanını @nyariv/sandboxjs ile değiştirerek, uygun menşe ve içerik tipi doğrulama ekleyerek ve Devtools bağlantıları için kimlik doğrulama uygulayarak bu güvenlik açığını ele almıştır.
Etkilenen paketi kullanan geliştiriciler, bu kritik güvenlik riskini azaltmak için derhal yamalı sürüme yükseltmelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!