Vulnerabilidad en zx (CVE-2025-24959)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

03/02/2025

Última modificación:

03/02/2025

Descripción

zx es una herramienta para escribir mejor scripts. Un atacante con control sobre los valores de las variables de entorno puede inyectar variables de entorno no deseadas en `process.env`. Esto puede provocar la ejecución arbitraria de comandos o un comportamiento inesperado en aplicaciones que dependen de las variables de entorno para operaciones sensibles a la seguridad. Las aplicaciones que procesan entradas no confiables y las pasan a través de `dotenv.stringify` son particularmente vulnerables. Este problema se ha corregido en la versión 8.3.2. Los usuarios deben actualizar inmediatamente a esta versión para mitigar la vulnerabilidad. Si la actualización no es posible, los usuarios pueden mitigar la vulnerabilidad mediante Desinfectando valores de variables de entorno controlados por el usuario antes de pasarlos a `dotenv.stringify`. Específicamente, evite usar `"`, `&#39;` y comillas simples invertidas en los valores, o aplique una validación estricta de las variables de entorno antes del uso.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 1.00 BAJA
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Activo
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

1.00

Gravedad 4.0

BAJA

Vulnerabilidad en zx (CVE-2025-24959)

Descripción

Impacto

Referencias a soluciones, herramientas e información