Retour à la liste

esm.sh: Path Traversal via package.json browser field allows reading arbitrary server files — CVE-2026-44594

GitHub · GitHub · CVE-2026-44594

ID
CVE-2026-44594
Date
Activity
Source
GitHub
Fournisseur
GitHub
Risque
high
CVSS
7.5

Résumé

### Summary A Local File Inclusion (LFI) vulnerability exists in the esbuild plugin's handling of the `browser` field in `package.json`. An attacker can publish an npm package that causes the server to read and return arbitrary files from the host filesystem during the build process. ### Details The vulnerable code is in the `OnResolve` callback of the esbuild plugin:…

Produit

go: github.com/esm-dev/esm.sh

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

  • Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
  • Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
  • Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
  • Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W20