Vulnerabilidad en Nest (CVE-2025-54782)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
02/08/2025
Última modificación:
09/10/2025
Descripción
Nest es un framework para crear aplicaciones escalables del lado del servidor en Node.js. En las versiones 0.2.0 y anteriores, se descubrió una vulnerabilidad crítica de Ejecución Remota de Código (RCE) en el paquete @nestjs/devtools-integration. Al habilitarse, el paquete expone un servidor HTTP de desarrollo local con un endpoint de API que utiliza un entorno de pruebas de JavaScript inseguro (implementación similar a la de evaluación segura). Debido a un entorno de pruebas inadecuado y a la falta de protecciones entre orígenes, cualquier sitio web malicioso visitado por un desarrollador puede ejecutar código arbitrario en su equipo local. El paquete añade endpoints HTTP a un servidor de desarrollo NestJS que se ejecuta localmente. Uno de estos endpoints, /inspector/graph/interact, acepta una entrada JSON que contiene un campo de código y ejecuta el código proporcionado en un entorno de pruebas vm.runInNewContext de Node.js. Esto se solucionó en la versión 0.2.1.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nestjs:devtools-integration:*:*:*:*:*:node.js:*:* | 0.2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/JLLeitschuh/nestjs-devtools-integration-rce-poc
- https://github.com/JLLeitschuh/nestjs-typescript-starter-w-devtools-integration
- https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7
- https://nodejs.org/api/vm.html
- https://socket.dev/blog/nestjs-rce-vuln
- https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7