Vulnerabilidad en Nest (CVE-2025-54782)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
02/08/2025
Última modificación:
04/08/2025
Descripción
Nest es un framework para crear aplicaciones escalables del lado del servidor en Node.js. En las versiones 0.2.0 y anteriores, se descubrió una vulnerabilidad crítica de Ejecución Remota de Código (RCE) en el paquete @nestjs/devtools-integration. Al habilitarse, el paquete expone un servidor HTTP de desarrollo local con un endpoint de API que utiliza un entorno de pruebas de JavaScript inseguro (implementación similar a la de evaluación segura). Debido a un entorno de pruebas inadecuado y a la falta de protecciones entre orígenes, cualquier sitio web malicioso visitado por un desarrollador puede ejecutar código arbitrario en su equipo local. El paquete añade endpoints HTTP a un servidor de desarrollo NestJS que se ejecuta localmente. Uno de estos endpoints, /inspector/graph/interact, acepta una entrada JSON que contiene un campo de código y ejecuta el código proporcionado en un entorno de pruebas vm.runInNewContext de Node.js. Esto se solucionó en la versión 0.2.1.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/JLLeitschuh/nestjs-devtools-integration-rce-poc
- https://github.com/JLLeitschuh/nestjs-typescript-starter-w-devtools-integration
- https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7
- https://nodejs.org/api/vm.html
- https://socket.dev/blog/nestjs-rce-vuln
- https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7