Vulnerabilidad en node-tmp (CVE-2025-54798)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
07/08/2025
Última modificación:
03/11/2025
Descripción
tmp es un creador de archivos y directorios temporales para Node.js. En las versiones 0.2.3 y anteriores, tmp es vulnerable a la escritura arbitraria de archivos o directorios temporales mediante el parámetro dir de enlace simbólico. Esto se solucionó en la versión 0.2.4.
Impacto
Puntuación base 3.x
2.50
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:raszi:tmp:*:*:*:*:*:node.js:*:* | 0.2.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/raszi/node-tmp/commit/188b25e529496e37adaf1a1d9dccb40019a08b1b
- https://github.com/raszi/node-tmp/issues/207
- https://github.com/raszi/node-tmp/security/advisories/GHSA-52f5-9888-hmc6
- https://lists.debian.org/debian-lts-announce/2025/08/msg00007.html
- https://github.com/raszi/node-tmp/security/advisories/GHSA-52f5-9888-hmc6